16防火墙答题.ppt

第16课 防火墙 本章目标 了解防火墙的定义和类型 掌握防火墙的原理 了解防火墙技术的发展趋势 学习ISA的应用 防火墙(Firewall)的定义 在互联网上，防火墙是一种有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。 名称来源：建筑行业 防火墙 防火墙是什么？ 可以是一套软件，也可以是一套硬件 可以是一台路由器，也可以是一台PC机 可能是一台专业防火墙…… 防火墙的基本设计目标 所有通过“内部”和“外部”的网络流量都要经过防火墙 通过安全策略，保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 防火墙的局限性 防火墙不能防范网络内部的攻击 比如：防火墙无法禁止内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范社会行为 那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件 不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 对于绕过防火墙的攻击，它无能为力 例如，在防火墙内部通过拨号出去 防火墙的分类 按技术分类 分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过。 应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 电路级网关，又叫状态检测（Status Detection）：是前面两种防火墙的结合体，它在包过滤的基础上加了状态连接表，将进出的数据包连成一个个的事件来处理，规范了应用层的行为。 按软硬件分类 软件防火墙 通用OS+防火墙软件 硬件防火墙 “硬化”了的软件防火墙 芯片级防火墙 专用的OS+专用的芯片…… 包过滤路由器 基本思想简单 对于每个进来的包，适用一组规则，然后决定转发或丢弃 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 缺省策略只有两种：默认允许、默认拒绝 回顾：从上到下，点到为止的ACL原则 包过滤防火墙(小结) 在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点 实现简单 对用户透明 效率高 缺点 正确制定规则并不容易 不可能引入认证机制（为什么？） 应用层网关 也称为代理服务器 特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大 应用层网关 应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。 Microsoft Proxy Server 2.0 一个功能强大的代理服务器 提供常用的Internet服务 除了基本的Web Proxy，还有Socks Proxy和Winsock Proxy 强大的cache和log功能 对于软硬件的要求比较低 安装管理简单 与NT/2000集成的认证机制 扩展的一些功能 反向proxy: proxy作为Internet上的一个Web server 反向hosting，以虚拟Web Server的方式为后面的Web Server独立地发布到Internet上 安全报警 电路层网关 代理服务器 分类 HTTP代理：能够代理客户机的HTTP访问，主要是代理浏览器访问网页，它的端口一般为80、8080、3128等； FTP代理：能够代理客户机上的FTP软件访问FTP服务器，它的端口一般为21、2121； RTSP代理：代理客户机上的Realplayer访问Real流媒体服务器的代理，其端口一般为554； POP3代理：代理客户机上的邮件软件