网安第十五讲防火墙1.pptVIP

第十五讲 防火墙 防火墙概述 问题的提出 你想免受黑客的攻击吗？ 你如何把攻击抵御在企业外部吗？ 马其顿防线---开始防御 解答： 为什么需要防火墙？ 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 什么是防火墙(Firewall) 防火墙的本义原是指古代人们当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。 原是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开 什么是计算机网络中的防火墙(Firewall)？ 防火墙定义 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，根据安全策略控制进/出两个方向的通信。 注解： 1、内部网与互联网的有效隔离 2、内网与外网之间的第一道安全屏障 3、它将不可信网络同可信任网络隔离开 4、防火墙本身具有较强的抗攻击能力 防火墙示意图 具体解释—什么是防火墙1 在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统. 具体解释—什么是防火墙2 防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。 防火墙应具有的特性 防火墙是放置在两个可信程度不同的网络之间的一组组件，这组组件共同具有下列性质 双向通信必须通过防火墙 防火墙本身不会影响信息的流通 只允许本身安全策略授权的通信信息通过 防火墙的功能 防火墙的组成 防火墙＝过滤器＋安全策略 防火墙的存在形式：软件、硬件 功能组成： 我们能享受到什么？ 防火墙主要提供4种服务： (1) 服务控制：确定可以访问的网络服务类型。 (2) 方向控制：特定服务的方向流控制。 (3) 用户控制：内部用户、外部用户所需的某种形式的认证机制。 (4) 行为控制：控制如何使用某种特定的服务。 理论上的防火墙应该做到： (1) 所有进出网络的通信流都应该通过防火墙；  (2) 所有穿过防火墙的通信流都必须有安全策略和计划的确认及授权；  (3) 防火墙是穿不透的。 世事无绝对-防火墙的局限性 没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限（争议与不足） 1、防火墙防外不防内； 2、使用不便，认为防火墙给人虚假的安全感； 3、很难为用户在防火墙内外提供一致的安全策略； 4、防火墙只实现了粗粒度的访问控制； 5、防火墙不能保证不被绕过或穿透； 6、可能带来传输延迟、瓶颈。 防火墙的发展历史 防火墙已经历了五个发展阶段 第一代防火墙：采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，推出了电路层防火墙和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。 防火墙的发展历史图示 现在和未来的防火墙 集成入侵检测 人工智能（神经网络模糊识别专家系统） 深度包检测技术 网络处理器（Network Processor）和专用集成电路（ASIC） —千兆 分布式 防火墙的分类 1．包过滤防火墙（分组） 2．应用代理防火墙 3.电路级网关型防火墙 4.状态包检测防火墙 5.自适应代理型防火墙 这是根据采用工作的网络层次不同进行分类的 包过滤防火墙1 包是网络上信息流动的基本单位，它由数据负载和包头两个部分组成。 包过滤器又称为过滤路由器，它把包头信息和管理员设定的规则表进行比较，如果有一条规则不允许发送某个包，路由器将会丢弃它。 通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 包过滤防火墙2 防火墙通常就是一个具备包过滤功能的简单路由器，支持因特网安全。因为包过滤是路由器的固有属性，因而它是一种因特网互联更加安全的简单方法。 过滤路由器与普通路由器的差别主要在于，普通路由器只是简单地查看每一个数据包的目标地址，并且选取数据包发往目标地址的最佳路径。 作为过滤路由器，它将更严格地检查数据包，除了决定它是否能发送数据包到其它目标之外，过滤路由器还决定它是否应该发送。“应该”或者“不应该”由站点的安全策略决定，并由过滤路由器强制设置。 包过滤防火墙的示意图 包过滤防火墙的示意图2 包过滤服务器的工作层面 包过滤所检查的内容 IP源地址 IP目标地址 协议类型（TCP