防火墙概述.pptVIP

第4章 防火墙 重点和难点 防火墙的主要功能、类别和相关安全标准 防火的设计原理 掌握 防火墙的设计原理 应用防火墙的典型案例 防火墙的使用方法、目的及其存在的缺陷 了解 防火墙的基本概念、功能特点、主要作用及分类 防火墙的安全标准 4.1 概 述 防火墙（Firewall）是位于两个或多个网络间实施网络间访问控制的一组组件的集合。这组组件包括：主机系统、路由器、网络安全策略和用于网络安全控制与管理的软硬件系统等。并且需要满足以下三个条件： 1）网络内部和外部之间的所有数据流必须经过防火墙； 2）只有符合安全策略的数据流才能通过防火墙； 3）防火墙自身具有高可靠性，应对渗透免疫。 防火墙是提供信息安全服务、实现网络和信息安全的基础设施之一，一般安装在被保护区域的边界处，如图4.1所示。在图中，被保护区域与Internet网之间的防火墙可以有效控制区域内部网络与外部网络之间的访问和数据传输，进而达到保护区域内部信息安全的目的，同时，通过防火墙的检查控制可以过滤掉很多非法信息。 4.1.2 使用防火墙的主要目的 使用防火墙的主要目的包括以下两个方面： 1）严格限制进入被保护区域的访问，防止外部入侵和信息污染；例如，对来自外部网络的各种访问进行访问控制、信息过滤等。 2）严格限制离开被保护区域的信息，防止信息泄漏；例如，对来访者在保护区域内的各种活动进行审计跟踪、检查需要离开被保护区域的信息资源等。 4.1.3 防火墙的功能 1．包过滤 包过滤是防火墙所要实现的最基本功能，它可将不符合要求的包过滤掉。静态包过滤只是在网络层上对包的地址、端口等信息进行判定控制，而动态包过滤是在所有通信层上对包的状态进行检测分析，判断包是否符合安全要求。动态包过滤技术支持多种协议和应用程序，易扩展、易实现。 2．审计和报警机制 审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置，并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后，以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员。 3．远程管理 目前防火墙的远程管理主要使用三种技术。一是基于Web界面的管理方式；二是GUI界面的管理方式；三是基于命令行的CLI管理方式。这三种技术各有其优点，前两种均采用可视化管理界面来完成对防火墙的配置、管理和监控操作。Web管理方式提供了简单的管理界面，适合那些功能不是很多的防火墙的管理工作。而GUI管理方式能提供丰富的管理界面，适合对防火墙进行复杂的配置，管理多台防火墙，同时支持丰富的审计和日志的功能。 4．NAT 绝大多数防火墙都具有网络地址转换（NAT）功能。目前防火墙一般采用双向NAT，即：SNAT和DNAT。SNAT用于对内部网络地址进行转换，对外部网络隐藏内部网络的结构，使得对内部的攻击更加困难；并可以节省IP资源，有利于降低成本。DNAT主要用于实现外网主机对内网和DMZ区主机的访问。? 5．代理? 目前代理主要有如下几种实现方式：? 1）透明代理（Transparent?proxy）：透明代理实质上属于DNAT的一种，它主要指内网主机需要访问外网主机时，不需要做任何设置，完全意识不到防火墙的存在而完成内外网的通信。 其原理是防火墙截取内网主机与外网通信，由防火墙本身完成与外网主机通信，然后把结果传给内网主机，在这个过程中，无论内网主机还是外网主机都意识不到它们在和防火墙通信。 2）传统代理：传统代理工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器，并由该服务器实现内网与外网间的通信。 6．MAC与IP地址的绑定 把MAC地址与IP地址绑定在一起，主要用于防止那些受到控制（不允许访问外网）的内部用户通过更换IP地址来访问外网。 7．流量控制（带宽管理）和统计分析、流量计费? 流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制，基于用户的控制是通过用户登录来控制每个用户的流量，从而防止某些应用或用户占用过多的资源。 流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等进行统计，并可以与管理界面实现挂接，实时或者以统计报表的形式输出结果。流量计费从而也是非常容易实现的。? 8．VPN? 在以往的网络安全产品中，VPN是一个单独产品，现在大多数厂商把VPN与防火墙捆绑在一起，进一步增强和扩展了防火墙的功能，这也是一种产品整合的趋势。? 4.1.4 防火墙的作用及分类 1．防火墙的主要作用 在计算机网络中，增加防火墙设备的投入可以提高内部网络的安全性能，这些安全性主要表现在以下几个方面： 1）防止来自被保护区域外部