网络安全(第二章)选编.ppt

第二章 防火墙技术及应用 ;防火墙概述;防火墙的提出;防火墙示意图;防火墙技术; 防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性： · 防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外和从外到里的所有信息都必须通过防火墙； · 通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过； · 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。 ;什么是防火墙;什么是防火墙;什么是防火墙;什么是防火墙;防火墙的功能;防火墙的功能;防火墙的基本功能;防火墙的分类;防火墙的分类;防火墙的分类;防火墙的分类;防火墙的分类;防火墙的分类;防火墙的局限性;防火墙的局限性;防火墙的局限性;防火墙的基本原理 ;防火墙的基本准则 ;2 防火墙的体系结构;防火墙的体系结构;分组过滤路由器;分组过滤路由器;分组过滤路由器举例;分组过滤路由器举例;分组过滤路由器举例;分组过滤路由器举例;双宿主机;双宿主机;屏蔽主机;屏蔽主机;屏蔽子网;屏蔽子网;3 防火墙的实现技术;数据包过滤（1/6）（包过滤防火墙）;数据包过滤（2/6）;数据包过滤（3/6）; 如图8-5所示，当网络管理员在防火墙上设置了过滤规则后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。;3． 包过滤防火墙的应用特点 包过滤防火墙是一种技术非常成熟、应用非常广泛的防火墙技术，具有以下的主要特点： （1） 过滤规则表需要事先进行人工设置，规则表中的条目根据用户的安全要求来定。 （2） 防火墙在进行检查时，首先从过滤规则表中的第1个条目开始逐条进行，所以过滤规则表中条目的先后顺序非常重要。 （3）由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。 ;数据包过滤（4/6）;包过滤的基本过程： 包过滤规则必须被包过滤设备端口存储起来 当到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP，TCP或UDP报头中的字段 包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同 若一条规则阻止包传输或接收，则此包便不被允许 若一条规则允许包传输或接收，则此包可以被继续处理 若包不满足任何一条规则，则此包便被默认阻塞;数据包过滤（5/6）;数据包过滤（6/6）;代理服务（1/4）（代理防火墙）;代理防火墙 ;代理服务（2/4）; 代理防火墙具有以下的主要特点： （1） 代理防火墙可以针对应用层进行检测和扫描，可有效地防止应用层的恶意入侵和病毒。 （2） 代理防火墙具有较高的安全性。由于每一个内外网络之间的连接都要通过代理服务器的介入和转换，而且在代理防火墙上会针对每一种网络应用（如HTTP）使用特定的应用程序来处理。; （3） 代理服务器通常拥有高速缓存，缓存中保存了用户最近访问过的站点内容。 （4） 代理防火墙的缺点是对系统的整体性能有较大的影响，系统的处理效率会有所下降，因为代理型防火墙对数据包进行内部结构的分析和处理，这会导致数据包的吞吐能力降低（低于包过滤防火墙）。 ;代理服务（3/4）;代理服务（4/4）;状态检测（1/5） （状态检测防火墙）;静态包过滤的缺陷 由于静态包过滤技术要检查进入防火墙的每一个数据包，所以在一定程序上影响了网络的通信速度。另外，静态包过滤技术固定地根据包的头部信息进行规则的匹配，这种方法在遇到利用动态端口的应用协议时就会出现问题。 状态检测技术及优势 状态检测技术即动态包过滤技术。状态检测防火墙检查的不仅仅是数据包中的头部信息，而且会跟踪数据包的状态，即不同数据包之间的共性。 ;状态检测（2/5）;状态检测（3/5）;状态检测（4/5）;状态检测防火墙的工作过程 状态检测防火墙的工作过程如图8-7所示。在状态检测防火墙中有一个状态检测表，它由规则表和连接状态表两部分组成。状态检测防火墙的工作过程是：首先利用规则表进行数据包的过滤，此过程与静态包过滤防火墙基本相同。如果某一个数据包（如“IP分组B1”）在进入防火墙时，规则表拒绝它通过，则防火墙直接丢弃该数据包，与该数据包相关的后续数据包（如“IP分组B2”、“IP分组B3”等）同样会被拒绝通过。;状态检测的逻辑流程图;图8-7 状态检测防火墙的工作示意图 ;状态检测（5/5）;跟踪连接状态的方式 状态检测防火墙跟踪连