[网络安全与病毒防范]第五章防火墙工作原理及应用分析.ppt

第五章 防火墙工作原理及应用 第五章 防火墙工作原理及应用 5.1 防火墙概念与分类 5.1.1 防火墙简介 5.1.2 包过滤防火墙 5.1.3 代理服务防火墙 5.1.4 复合防火墙 5.1.5 个人防火墙 第五章 防火墙工作原理及应用（续） 5.2 防火墙体系结构 5.2.1. 堡垒主机 5.2.2. 非军事区 5.2.3. 屏蔽路由器 5.2.4 双宿主主机体系结构 5.2.5 主机过滤体系结构 5.2.6 子网过滤体系结构 5.2.7 组合体系结构 第五章 防火墙工作原理及应用（续） 5.3 防火墙选型与产品简介 5.3.1 防火墙的局限性 5.3.2 开发防火墙安全策略 5.3.3 防火墙选型原则 5.3.4 典型防火墙简介 第五章 防火墙工作原理及应用 当网络涉及不同的信任级别时（例如内部网、Internet或者网络划分），要保证安全必须安装控制设备。此类控制设备几乎总是某种形式的防火墙。 防火墙允许授权的数据通过，而拒绝未经授权的数据通信，并记录访问报告等。由于使用防火墙能增强内部网络的安全性，因此防火墙技术的研究已经成为网络信息安全技术的主导研究方向。 本章将介绍防火墙的基本功能、工作原理、分类、体系结构、局限性以及典型防火墙产品。 5.1 防火墙概念与分类 网络防火墙是隔离内部网与Internet之间的一道防御系统，这里有一个门，允许人们在内部网和开放的Internet之间通信。 访问者必须首先穿越防火墙的安全防线，才能接触目标计算机，网络防火墙如图8.1所示。 5.1.1 防火墙简介 在没有防火墙时，局域网内部的每个节点都暴露给Internet上的其它主机，此时内部网的安全性要由每个节点的坚固程度来决定，且安全性等同于其中最薄弱的节点。使用防火墙后，防火墙会将内部网的安全性统一到它自身，网络安全性在防火墙系统上得到加固，而不是分布在内部网的所有节点上。 防火墙把内部网与Internet隔离，仅让安全、核准了的信息进入，而阻止对内部网构成威胁的数据，它防止黑客更改、拷贝、毁坏重要信息；同时又不会妨碍人们对Internet的访问。 防火墙的工作原理 防火墙的基本功能 作为一个中心“遏制点”，将内部网的安全管理集中起来，所有的通信都经过防火墙； 只放行经过授权的网络流量，屏蔽非法请求，防止越权访问,并产生安全报警； 能经受得起对其自身的攻击。 防火墙工作在OSI参考模型上 防火墙的发展史 第一代防火墙技术由附加在边界路由器上的访问控制表ACL (Access Control Table)构成，采用了包过滤技术。 第二代代理防火墙即电路层网关和应用层网关。 1994年，以色列的Check Point公司开发出了第一个基于动态包过滤技术的防火墙产品。 1998年，美国的网络联盟公司NAI (Network Associates Inc.)又推出了一种自适应代理技术。 防火墙的两大分类 尽管防火墙的发展经过了将近20年，但是按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙。前者以Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表，表5.2为防火墙两大体系性能的比较。 防火墙两大体系性能的比较 防火墙两大体系性能的比较（续） 防火墙的组成 防火墙既可以是一台路由器、一台PC或者一台主机，也可以是由多台主机构成的体系。 应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界，本地网络通过输入点和输出点与其它网络相连，这些连接点都应该装有防火墙。 在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护。 防火墙放置的位置 防火墙放置的位置（续） 防火墙的分类 防火墙有很多种分类方法： 根据采用的技术不同，可分为包过滤防火墙和 代理服务防火墙； 按照应用对象的不同，可分为企业级防火墙与 个人防火墙； 依据实现的方法不同，又可分为软件防火墙、 硬件防火墙和专用防火墙。 软件防火墙 防火墙运行于特定的计算机上，一般来说这台计算机就是整个网络的网关。 软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。 使用这类防火墙，需要网络管理人员对所工作的操作系统平台比较熟悉。 硬件防火墙 由PC硬件、通用操作系统和防火墙软件组成。 在定制的PC硬件上，采用通用PC系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD、Solaris等经过最小化安全处理后的操作系统及集成的防火墙