第10章防火墙试题.pptVIP

第十章 防火墙 10.1 防火墙技术概述 防火墙的概念 本义原是指古代人们房屋之间修建的那道墙，当有房屋失火的时候防止火势蔓延到附近的房屋 借用到网络安全领域，是指隔离在本地网络与外界网络之间的一种屏障，控制的是出入网络的信息流。 防火墙是一种用于增强机构内部网络安全性的系统，它可以加强网络间的访问控制，防止外部用户非法使用内部网络资源，保护内部网络不受破坏，防止内部网络的敏感数据被窃取 防火墙的概念 防火墙包含着一对矛盾 一方面它限制数据流通，另一方面它又允许数据流通 防火墙存在两种极端的情形 第一种是除了必须允许之外的都被禁止，第二种是除了必须禁止之外的都被允许。 第一种的特点是安全但不好用，第二种是好用但不安全，而多数防火墙都在两者之间采取折衷 防火墙模型 防火墙特征 所有从内到外的和从外到内的数据包都要经过防火墙； 能够防止非法用户进入内部网络，只有被安全策略允许的数据包才能通过防火墙； 防火墙本身具有防攻击的能力； 人机界面良好，用户配置方便 防火墙的发展过程 基于路由器的防火墙 用户化防火墙 通用操作系统上的防火墙 具有安全操作系统的防火墙 防火墙基本安全策略 用户账号策略：用户账号应该包含用户的所有信息 用户权限策略：用来控制授权用户对系统资源的使用 信任关系策略：通过信任关系建立以域为基础的安全模型 过滤策略：根据过滤规则，过滤基于标准的数据包。是防火墙的主要安全策略。在该策略的指导之下防火墙才能执行访问控制功能 认证、签名和数据加密策略：支持常用的加密算法，保证系统符合国际标准;为了安全，需保留自己的加密算法接口 审计策略：在安全日志中记录网络行为。事件以用户，对象，访问类型，成功标志位四元组来代表。此外还要提供诸如备份、分析以及告警等相关功能 防火墙的优点 防火墙允许管理员定义一个“检查点”来防止非法用户进入内部网络，并抵抗各种攻击。网络的安全性在防火墙系统上得到加固。 防火墙通过过滤存在着安全缺陷的网络服务来降低受保护网络遭受攻击的威胁。只有经过选择的网络服务才能通过防火墙。 在防火墙上可以很方便地监视网络的访问，并产生告警信息。 防火墙系统具有集中安全性:若受保护网络的安全程序集中地放置在防火墙上，而非分散到受保护网络中的各台主机上，则安全监控行为更易于实现，安全成本也会更为低廉。 防火墙的优点 防火墙可以增强受保护节点的保密性，可以阻断某些提供主机信息的服务，使得外部主机无法获取这些有利于攻击的信息。 防火墙是审计和记录网络行为最佳的地方。由于所有的网络访问流都要经过防火墙，所以管理员可以在防火墙上记录、分析网络行为，并以此检验安全策略的执行情况，改进安全策略。 防火墙不但是网络安全的检查点，它还可以做为向外部客户发布信息的地点。 正是由于防火墙技术这些显而易见的优势，所以从目前到将来相当长的一段时间内，防火墙技术仍然是保证系统安全的主要技术。 10.2 防火墙系统的分类 按结构分类 传统防火墙系统 多重宿主主机 按结构分类 传统防火墙系统 屏蔽主机网关 按结构分类 传统防火墙系统 屏蔽子网网关 按结构分类 分布式防火墙系统 防火墙在每一台连接到网络的主机上实现，负责所在主机的安全策略执行、异常情况报告，并收集所在主机的安全信息 设置一个网络安全管理中心，按照用户权限的不同向安装在各台主机上的防火墙分发不同的网络安全策略，此外还要收集、分析、统计各个防火墙的安全信息 按结构分类 分布式防火墙系统 分布式防火墙系统的实现存在着较大的问题，即采用的是软件意义上的防火墙还是带着固化软件的硬件设备 安全数据的处理是一个难题 系统将安全策略的执行权交给了各个防火墙，而对各点的安全数据如何存储以及何时、以何种方式进行收集则很难进行处理，从而很难及时掌握网络的整体运行情况。 网络安全中心负责向所有的主机发送安全策略并处理它们返回的信息，这对于安全中心服务器来说是极为繁重的工作 按结构分类 混合式防火墙系统 混合式防火墙力图结合传统防火墙和分布式防火墙的特点，利用分布式防火墙的一些技术对传统的防火墙技术加以改造，依赖于地址策略将安全策略分发给各个站点，由各个站点实施这些规则 融合了传统和分布式防火墙系统的特点，将网络流量分配给多个接入点，降低了单点工作强度，安全性、管理性更强，因此比传统和分布式防火墙系统效能更高。 但其网络操作中心是一个明显的系统瓶颈，一旦它发生了故障，整个防火墙也将停止运作，因此同传统防火墙系统一样存在着单失效点的问题。 按技术分类 包过滤技术 在网络层对数据包进行分析和选择，对每个进入的IP数据包应用一组规则集合来判断是否应该转发。 以数据包头为基础，按照路由器配置中的一组规则将数据包分类，然后在网络层对数据包进行选择，选择的依据是系