7.5防火墙所采用的技术及其作用.ppt

* 第7章 防 火 墙 技 术 7.5 防火墙所采用的技术及其作用 7.5.1 隔离技术 1． 隔离的定义 最安全且简单的做法是将网络的物理线路切断，但完全的中断却失去了网络本身的优势及方便性。因此，解决的方法是设计防火墙系统在不同区域间执行连接的管理（如图7.41 所示）。 图 7.41 防火墙隔离技术  2． 防火墙隔离技术根据其所能支持区域隔离网络数量的三种分类法 (1) Dual-Home 将网络区隔为两段, 如图7.42所示。  (2) Tri-Home 在防火墙上增加第三块网卡的网络， 称SSN(Secure Server Network)或DMZ（Delimitation Military Zone）, 如图7.42所示。  (3) Multi-Home 支持区域隔离多端网络的防火墙， 如图7.42所示。 图 7.42 防火墙隔离技术类型 7.5.2 管理技术 从管理网络互联的角度来说， 主要管理下述内容：  (1) 连接来源地址（IP地址、 主机名称、 网络名称、 子网络区段）； (2) 连接目的地址（IP地址、 主机名称、 网络名称、 子网络区段）； (3) 网络服务的类别（HTTP、 Telnet、 FTP、 SMTP…）； (4) 连接的时间； (5) 连接的方向（Ext→Int、 Int→Ext…）； (6) 连接的身份（Username/Password）。 7.5.3 防火墙操作系统的技术 不管是软件还是硬件，防火墙的设备都必须考虑防火墙的操作系统环境是否安全。 如果采用不安全的防火墙操作系统，防火墙就很难保护网络的安全。 目前， 市场上的防火墙大多数是构建在下列类型的操作系统上的， 其优缺点如表7.2所示。 表7.2 防火墙操作系统安全性能比较表 7.5.4 通信堆叠技术 由于防火墙的主要功能是在隔离和保护网络通信级连接管理，因此防火墙的安全级数及执行效率与防火墙所采用的通信堆叠技术有着密切的关系。防火墙的通信堆叠可检查到的资料多少关系着防火墙的安全级数及执行效率。以OSI/RM的网络体系结构为例来看，防火墙所采用的堆叠技术愈在高层，所能检查到的通信资源越多，其安全级数也就越高，然而其执行效率反而较差。反之，如果防火墙所采用的通信堆叠技术越在低层， 所能检查到的通信资源越少，其安全级数也就越低，然而其执行效率反而较佳。 若按所采用的通信堆叠来区分， 目前在市场上可以看到的防火墙技术有下列类型：  (1) 包过滤技术(Packet Filtering)； (2) 状态检查技术(Stateful Inspection)； (3) 传输级网关技术(Circuit-Level Gateway)； (4) 应用级网关技术(Application-Level Gateway)。 1. 包过滤技术 1） 包过滤技术原理(见第9章) 2） 运作方式(如图7.43所示) (1) 在TCP/IP网络层（Network Layer）可以检查的资料: 源IP地址; 目的IP地址; 封装包的类型; 源地址通信端口号; 目的地址通过端口号。 (2) 内部网络与外部网络间是直接通信。  (3) 防火墙根据进出防火墙IP封包进行比较、 检查、 校验。 图7.43 包过滤技术原理 3） 优点 (1) 网络流量性能最好；  (2) 与网络通信协议无关， 可支持所有的通信协议。 4） 缺点 (1) 直接连接的危险性高，将使内部网络暴露在外部网络下； (2) 无法掌握连接的状态（state），例如，Telnet连接何时建立？何时停止? (3) 只可以确认通信端口号，但无法识别是何种通信协议（SMTP、 HTTP、 FTP、 …）； (4) 访问控制条件难以设定；  (5) 无法检查应用程序的状态；  (6) 是一种较不安全的方法。 2． 状态检查技术 1） 运作方式(如图7.44所示) (1) 在数据链路层（Data Link）及网络层（Network）之间插入一状态检查模块（Stateful Inspecti