网络安全课件第7章 防火墙.ppt

网络安全技术 第7章 防火墙 防火墙概述 防火墙的分类 防火墙的选择 防火墙的体系结构 防火墙的主要应用 防火墙的配置规则 ISA Server的应用 防火墙概述 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。 在网络中，防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 防火墙概述 “防火墙的目的是在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制”（参见国标GB/T 18019-1999）。 防火墙能够提高主机群、网络及应用系统的安全性，以下是主要功能。 网络安全的屏障 强化网络安全策略 对网络存取和访问进行监控和审计 防止内部信息的外涉 实现VPN的连接 防火墙概述 防火墙能够对网络安全威胁进行极好的防范，但是，它不能解决所有的网络安全问题，某些威胁是防火墙力所不及的，例如以下几个方面。 不能防御内部攻击 不能防御绕过防火墙的攻击 不能防御完全新的威胁 不能防止传送已感染病毒的软件或文件 影响网络性能 防火墙概述 防火墙的安全规则由匹配条件和处理方式两部分组成。 匹配条件 防火墙的分类 防火墙按照使用技术可以分为包过滤型和代理型，按照实现方式可以分为硬件防火墙和软件防火墙。 按软硬件分类 硬件防火墙是指采取ASIC芯片设计实现的复杂指令专用系统。 软件防火墙一般安装在隔离内外网的主机或服务器上 防火墙的分类 按技术分类 包过滤型防火墙，包过滤型防火墙又可分为： 静态包过滤（Static Packet Filtering） 状态检测包过滤（Stateful Inspection） 代理型防火墙,代理型防火墙又可分为: 电路级网关（Circuit Level Gateway） 应用网关（Application Layer Gateway） 防火墙的选择 选择的防火墙的一个前提条件是明确用户的具体需求。 要考虑网络结构 要考虑到业务应用系统需求 要考虑用户及通信流量规模方面的需求 把防火墙的主要指标和需求联系起来，可以从以下几个基本标准入手。 产品本身的安全性 数据处理性能 功能指标 可管理性与兼容性 产品的售后及相应服务 防火墙的体系结构 我们首先熟悉几个用于防火墙的关键术语 堡垒主机（Bastion Host）是一种配置了较为全面安全防范措施的网络上的计算机 双重宿主机是指通过不同的网络接口连入多个网络的主机系统，它是网络互连的关键设备 周边网络是指内部网络与外部网络之间的一个网络，通常将提供各种服务的服务器放置在该区域，又称为DMZ非军事区。 防火墙的体系结构 双宿/多宿主机防火墙（Dual-Homed/Multi-Homed Firewall），它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙。 防火墙的体系结构 屏蔽主机防火墙（Screened Host Firewall）由包过滤路由器和堡垒主机组成。 屏蔽主机防火墙实现了网络层和应用层的安全。 防火墙的体系结构 屏蔽子网防火墙（Screened Subnet Mode Firewall）的配置，采用了两个包过滤路由器和一个堡垒主机。 防火墙的主要应用 防火墙的工作模式包括路由工作模式、透明工作模式和NAT工作模式。 传统防火墙一般工作于路由模式，防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。 防火墙的主要应用 路由模下的防火墙，存在两个局限： 当防火墙的不同端口所接的局域网都位于同一个网段时，路由模式的防火墙无法完成这种方式的包转发。 当网络中引入的防火墙工作在路由模式时，被保护网络原来的路由器应该修改路由表以便转发防火墙的IP报文。如果用户的网络非常复杂，就会给防火墙用户带来设置上的麻烦。 防火墙的主要应用 工作于透明模式下的防火墙可以实现透明接入。 工作于透明模式的防火墙相当于二层交换机；防火墙的网口不设地址。 防火墙的主要应用 工作于NAT模式的防火墙适用于内网中存在一般用户区域和DMZ区域，在DMZ区域中存在对外可以访问的服务器，同时该服务器具备经InterNIC注册过的IP地址。 防火墙的配置规则 从安全实用的角度考虑，防火墙的配置过程中需要坚持以下三个基本原则： 简单实用 全面深入 内外兼顾 一般防火墙配置步骤： 防火墙的配置规则 防火墙的设置过程中还应注意以下几点： 建立规则文件。 注重网络地址转换。 路由的合理设置。 合理的规则次序。 注意管理文件的更新。 加强审计。 ISA Server的应用 ISA Server是最优秀的微软平台防火墙和最高效的缓存服务器,ISA Server能有效地帮助企业组织管理内部网络到互联网的