第9章防火墙应用技术选编.ppt

第9章 防火墙应用技术;目 录;目 录;9.1.1 防火墙的概念和功能 防火墙(firewall)是一种位于两个（或多个）网络之间，通过执行访问控制策略来保护网络安全的设备。它隔离了内部、外部网络，是内、外部网络通信的唯一途径，能够根据制定的访问规则对流经它的信息进行监控和审查，从而保护内部网络不受外界的非法访问和攻击。网络防火墙的结构如图9-1所示。;;2. 防火墙的主要功能 实际上，防火墙其实是一个分离器、限制器或分析器，它能够有效监控内部网络和外部网络之间的所有活动，主要功能如下： （1）建立一个集中的监视点。 （2）隔绝内、外网络，保护内部网络。 （3）强化网络安全策略。 （4）有效记录和审计内、外网络之间的活动。;9.1.2 防火墙的特性 （1）安全、成熟、国际领先的特性。 （2）具有专有的硬件平台和操作系统平台。 （3??采用高性能的全状态检测（Stateful Inspection）技术。 （4）具有优异的管理功能，提供优异的GUI管理界面。 （5）支持多种用户认证类型和多种认证机制。 （6）需要支持用户分组，并支持分组认证和授权。 （7）支持内容过滤。 （8）支持动态和静态地址翻译(NAT)。 （9）支持高可用性，单台防火墙的故障不能影响系统的正常运行。 ;9.1.2 防火墙的特性 （10）支持本地管理和远程管理。 （11）支持日志管理和对日志的统计分析。 （12）实时告警功能，在不影响性能的情况下，支持较大数量的连接数。 （13）在保持足够的性能指标的前提下，能够提供尽量丰富的功能。 （14）可以划分很多不同安全级别的区域，相同安全级别可控制是否相互通讯。 （15）支持在线升级。 （16）支持虚拟防火墙及对虚拟防火墙的资源限制等功能。 （17）防火墙能够与入侵检测系统互动。;9.1.3 防火墙的主要缺陷 （1）不能防范不经由防火墙的攻击。 （2）防火墙是一种被动安全策略执行设备，即对于新的未知攻击或者策略配置有误，防火墙就无能为力了。 （3）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙允许某些标准网络协议，就不能防止利用协议缺陷的攻击。 （4）防火墙不能防止利用服务器系统漏洞进行的攻击。;9.1.3 防火墙的主要缺点 （5）防火墙不能防止数据驱动式的攻击。 （6）防火墙无法保证准许服务的安全性。 （7）防火墙不能防止本身的安全漏洞威胁。 （8）防火墙不能防止感染了病毒的软件或文件的传输。 此外，防火墙在性能上不具备实时监控入侵的能力，其功能与速度成反比。防火墙的功能越多，对CPU和内存的消耗越大，速度越慢。管理上，人为因素对防火墙安全的影响也很大。因此，仅仅依靠现有的防火墙技术，是远远不够的。;9.2.1 以防火墙的软硬件形式分类 从防火墙的软硬件形式来分： 1．软件防火墙 软件防火墙运行于特定的计算机上，需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。 2．硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。 3．芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。 ;9.2.2 以防火墙的技术分类 按照防火墙的技术分类，分为包过滤型和应用代理型 1．包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。其网络结构如图9-2所示。 ; 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。 （1）第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。其数据通路如图9-3所示。 ;（2）第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspec