网络安全技术与实训 第2版 教学课件 作者 杨文虎 李飞飞 第7章 防火墙.pptVIP

第7章 防火墙;本章学习要点 掌握防火墙的功能和分类 掌握防火墙的体系结构 了解防火墙的主要应用 掌握ISA软件防火墙的使用和策略配置 ;7.1 防火墙概述; 现在，如果一个网络接到了Internet上，它的用户就可以访问外部世界并与之通信。 但同时，外部世界也同样可以访问该网络并与之交互。 为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。; 这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡。 这种中介系统也叫做“防火墙”或“防火墙系统”。 ;图7.1 防火墙应用示意图;7.1.2 防火墙的功能;7.1.3 防火墙的规则; 【一切未被允许的就是禁止的】又称为 “默认拒绝”，防火墙封锁所有信息流，然 后对希望提供的服务逐项开放，即采取Accept处理方式。 采取该策略的防火墙具备很高的安全性，但是也限制了用户所能使用的服务种类，缺乏使用灵活性。 ; 【一切未被禁止的就是允许的】又称为“默认允许”，防火墙应转发所有的信息流，然后逐项屏蔽可能有威胁的服务，即采取Reject或Drop处理方式。 采取该策略的防火墙使用较为方便，规则配置灵活，但缺乏安全性。 ;防火墙处于网络层;;7.2 防火墙的分类;7.2.2 按使用技术分类;7.2.3 防火墙的选择;7.3 防火墙的应用;2．屏蔽主机模式;3．屏蔽子网模式;7.3.2 防火墙的工作模式;2．透明工作模式;3．NAT工作模式;7.3.3 防火墙的配置规则;图7.8 防火墙设置步骤视图; 除此以外，在防火墙的设置过程中还应注意以下几点。 建立规则文件。防火墙的配置文件可对允许进出的流量作出规定，因此规则文件非常重要，一般网络的重大错误往往是防火墙配置的错误。 ;注重网络地址转换。当防火墙采取NAT模式时，对于内网用户的地址转换和DMZ区域内的服务器的地址转换要非常注意。 ;路由的合理设置。防火墙一般提供静态路由，静态路由表是由网络管理员在启动网络路由功能之前预先建立起的一个路由映射表。在设置路由时，不但要防止来自外部的攻击，还要防止来自内部人员进行非法活动，一般采用IP?+?MAC?+?PORT绑定的方式，可防止内部主机盗用其他主机的IP进行未授权的活动。 ;合理的规则次序。同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。一些防火墙具有自动给规则排序的特性，很多防火墙以顺序方式检查信息包。 ;注意管理文件的更新。恰当地组织好规则之后，写上注释并经常更新它们，可以帮助管理员了解某条规则的用途，从而减少错误配置的产生。 ;加强审计。不仅要对防火墙的操作进行审计，还要对审计内容本身进行审计，同时审计中要有明确的权限，充分保证审计内容的完整性。 ;7.4 ISA Server防火墙;图7.10 ISA缓存功能结构;图7.11 ISA管理界面;;图7.13 ISA 策略单元应用;7.5 Cisco Pix防火墙;自适应性安全算法（ASA）。该算法对经过PIX防火墙的连接，采用了基于状态的控制。 ;直通型代理。这种类型的代理对输入、输出连接都采用基于用户的认证方式，比代理服务器具有更好的性能。;基于状态的包过滤。这种方式是把有关数据包的大量信息放入表中，进行分析的一种安全措施。要建立一个会话，该连接的相关信息必须与表中的信息匹配。 ;高可靠性。两个Cisco防火墙可以配置成全冗余方式，提供基于状态的故障倒换能力。 ;7.5.2 PIX防火墙的算法与策略;接口对;7.5.3 PIX防火墙系列产品介绍;7.5.4 PIX防火墙的基本使用;2．PIX防火墙的基本配置命令;命令格式;3．PIX防火墙的配置;图7.16 某校园网拓扑;4．PIX防火墙的口令恢复;7.5.5 PIX防火墙的高级配置; 这个过程允许内部用户去共享已经注册的IP地址，并且从公共Internet的角度来看，隐藏了内部地址。 其中动态地址翻译又分为两类。 ; ① 网络地址翻译（NAT）。通过定义地址池（由多个连续的IP地址组成）允许内部用户去共享这些地址访问外部网络。 ; ② 端口地址翻译（PAT）。所有本地地址都被翻译成同一个IP地址来访问外部网络。 ;（2）静态地址翻译; 除上述分类外，PIX防火墙还有一种NAT的特殊应用“nat 0”，它可以禁止地址翻译，使内部地址不经翻译就对外部网络可见。