第6章防火墙技术分解.ppt

第6章 防火墙技术 ? 防火墙的概念与原理 ? 防火墙的分类 ? 防火墙的体系结构 ? 防火墙的安全策略 ? 防火墙的指标与选型 ? 防火墙的配置与部署 ? 防火墙的发展趋势 6.1 防火墙的概念与原理 网络技术在给人们生活、工作带来方便和快捷的同时，也带来了网络安全方面的威胁，为了保障网络的安全性，在内部网络与外部网络连接时，在两者中加入—个或多个中间系统，防止非法的用户的入侵、窃取、篡改、毁坏重要的信息数据，并提供完整、可靠、保密的审查控制，这个中间系统就是防火墙，实际上是一种隔离技术。 6.1.1防火墙的基本概念及工作原理 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据用户的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙的简单结构图 防火墙通过实时监测控制、限制通过防火墙的数据流，通过强制实施统一的安全策略，尽可能地对外屏蔽网络内部结构和运行情况、防止网络入侵或攻击，防止对重要信息资源的非法存取和访问，实现对内部网的安全保护，提供了一种将内部网和公众访问网适度分离的方法。 对防火墙而言，网络可以分为可信网络和不可信网络。可信网络和不可信网络是相对的，一般来讲内部网络是可信网络，Internet 是不可信网络。 防火墙的安放位置是可信网络和不可信网络的边界，它所保护的对象是网络中有明确闭合边界的网段。 图6-2 网路防火墙的基本拓扑结构 6.1.2防火墙的发展历程 防火墙技术的发展大致分为 4 个阶段，图 6-3 表示了防火墙技术的简单发展历史。 6.1.3防火墙的主要功能 1．访问控制 2．内容控制 3. 安全策略与集中管理 4．访问审计与日志查询 5．防止内部信息的外泄 6．网络地址转换 7. 流量控制 8．应用代理 9. VPN 10.杀毒 11.与入侵检测联动 6.1.4 防火墙的局限性 1.限制有用的网络服务 2.无法防护内部网络用户的攻击 3. 无法防范通过防火墙以外的其他途径的攻击 4.不能完全防止传送已感染病毒的软件或文件 5.无法防范数据驱动型的攻击 6.不能防备新的网络安全问题 6.2 防火墙的分类  6.2.1从软硬件的实现形态上分类 1.X86架构? 2. ASIC专用芯片 3. FPGA可编程芯片 4. NP架构? 6.2.2从防火墙的实现技术分为 1.静态包过滤防火墙 2.动态包过滤防火墙 3.代理防火墙 4. 自适应代理防火墙 1.静态包过滤防火墙 图6-4包过滤防火墙的工作原理 图6-.5包过滤防火墙的工作流程 包过滤防火墙的优点如下: ① 利用路由器本身的包过滤功能，以访问控制列表（ACL）方式实现。 ② 处理速度较快。 ③ 对安全要求低的网络采用路由器附带防火墙功能的方法，不需要其他设备。 ④ 对用户来说是透明的，用户的应用层不受影响。 包过滤防火墙的缺点如下： ①无法阻止“IP 欺骗”。 黑客可以在网络上伪造假的 IP 地址、路由信息欺骗防火墙。 ②对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。 ③不支持应用层协议，无法发现基于应用层的攻击，如各种恶意代码的攻击等，访问控制粒度太粗糙。 ④实施的是静态的、固定的控制，不能跟踪 TCP 状态，如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。 ⑤不支持用户认证，只判断数据包中来自哪台机器，不判断来自哪个用户。 2.动态包过滤防火墙 （1）动态包过滤防火墙的原理 在包过滤防火墙中提到的无法阻止“IP 欺骗”的攻击，采用动态设置包过滤规则的方法，就可以避免这样的问题。用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，这种技术就是所谓状态检测（State Inspection）技术。动态包过滤防火墙为了克服包过滤模式明显的安全性不足的问题，不再只是分别对每个进来的包过滤地址进行检查，而是从 TCP 连接的建立到终止都跟踪检测，并且根据需要可动态地增加或减少过滤规则。状态检测是对包过滤功能的扩展。 图6-6动态防火墙的工作原理 动态包过滤防火墙主要特点 1 )安全性 2 )高效性 3 )可伸缩性和易扩展性 4 )应用范围广 3.代理防火墙 通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就