第五章__防火墙..ppt

防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 防火墙的基本功能 （1）防火墙能有效地记录因特网上的活动 （2）防火墙限制暴露用户点 （3）防火墙是一个安全策略的检查站 （4）建立一个节流点。 防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。它应该满足以下条件： （1）所有进出网络的通信流都应该通过防火墙。 （2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 （3）理论上说，防火墙是穿不透的。 包过滤系统只能让我们进行类似以下情况的操作： （1）允许或不允许用户从外部网用Telnet登录； （2）允许或不允许用户使用SMTP往内部网发电子邮件； （3）允许或不允许某个IP通过NNTP往内部网发新闻。 包过滤的优点 包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，我们的站点就可获得很好的网络安全保护。 包过滤路由器的配置 在配置包过滤路由器时，我们首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。 下面给出将有关服务翻译成包过滤规则时非常重要的几个概念。 （1）协议的双向性。 协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时，要注意包是从两个方向来到路由器的。 （2）“往内”与“往外”的服务的含义。 在我们制定包过滤规则时，必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。 （3）“默认允许”与“默认拒绝”。 网络的安全策略中的有两种方法：默认拒绝与默认允许: 拒绝所有的信息传输在这种情况下,将指定准许进出网络的某些类型的信息传输。 准许所有的信息传输在这种情况下,将指定你要拒绝的某些类型的信息传输。 从安全角度来看，用默认拒绝应该更合适。 包过滤器操作 （l）由于包过滤器是一台按照预先设定的内容对每一个包进行检查的设备，因此，必须告诉包过滤器阻塞什么,准许什么。这些包过滤标准必须由包过滤设备端口存储起来，叫做包过滤规则。 （2）包过滤器规则以特定的方式存储，比如包过滤器使用由安全管理员已经建立好的文本文件。这个文本文件由逐行顺序读取的一些规则组成。每一个规则包含明确的条目来帮助决定流入的包将如何被处理。 （3）当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查IP、TCP或UDP报头中的字段，不检查包体的内容。 包过滤操作流程图 代理服务器 面向代理的防火墙对IP包的查寻是很深入的,它们并不停留于OSI参考模型的网络层。它们可以在应用层上读取文本字符串,并且它们能够验证用户。由于代理服务器提供更多的特点,它们通常需要额外的系统资源。这样,在网络上运行一个代理服务器可能需要更昂贵的硬件。 双重宿主主机的防火墙体系结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。右图显示这种体系结构。 在主机过滤体系结构中提供安全保护的壁垒主机仅仅与内部网相连。另外，主机过滤结构还有一台单独的路由器（过滤路由器）。在这种体系结构中，主要的安全由数据包过滤提供，其结构如右图所示。 最常用的、实现一个防火墙的方法是屏蔽子网(screened subnet）。它也被称做是非军事化区,这是由于它在Internet和你的网络之间,建立了一个相当安全的空间,或子网。子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加屏蔽子网，更进一步地把内部网络与因特网隔离开。 子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到子网，一个位于子网与内部的网络之间，另一个位于子网与外部网络之间。 （1）屏蔽子网 屏蔽子网是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙，屏蔽子网就能在入侵者与内部网之间再提供一层保护。 如果入侵者仅仅侵入到屏蔽子网的堡垒主机，他只能偷看到这层网络的信息流（看不到内部网的信息），而这层网络的信息流仅从屏蔽子网往来于外部网或者从屏蔽子网往来于堡垒主机。因为没有纯粹的内部信息流在屏蔽子网中