主题4+网络防火墙概述.ppt

专题4 网络防火墙 基本概念 防火墙的功能 防火墙常见的几种类型 防火墙的体系结构 防火墙的安装与使用 防火墙的工作模式和主要技术 防火墙的发展趋势 虚拟专用网（VPN）：通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 虚拟专用网是对企业内部网的扩展。可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 数据包过滤：通过对数据包的IP头和TCP头或UDP头的检查来实现。主要信息有： IP源地址 IP目标地址 协议（TCP包、UDP包和ICMP包） TCP或UDP包的源端口 TCP或UDP包的目标端口 ICMP消息类型 TCP包头中的ACK位 数据包到达的端口 数据包出去的端口 过滤器的实现： 数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。 普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。 过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。 包过滤技术的优缺点 1）优点： 对一个小型的、不太复杂的站点，包过滤较容易实现。 过滤路由器在价格上一般比代理服务器便宜。由于过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。 过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西（过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关）。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”。之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。 2）缺点： 一些包过滤网关不支持有效的用户认证。 规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。 这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。 在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。 包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。 优点：安全 由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。而包过滤类型的防火墙则很难彻底避免这一漏洞。 缺点：速度相对比较慢 当用户对内外网络网关的吞吐量要求比较高时，（如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。 源ip地址转换（NAT） 目的ip地址转换（目的ip地址映射/MAP/反向NAT） 一对一/静态ip地址转换/SAT 地址池（ip pool） 目的端口转换（端口映射/PAT） 地址伪装 透明应用代理 思考：防火墙能防什么？防不住什么？ 防火墙技术是在内部网与外部网之间实施安全防范的最佳选择。能防以下内容： 1）访问控制：限制他人进入内部网，过滤掉不安全服务和非法用户； 2）抗攻击：限定人们访问特殊站点； 3）审计：为监视Internet安全提供方便，对网络访问进行记录，建立完备的日志、审计和追踪网络访问，并可根据需要产生报表、报警和入侵检测等。 思考：防火墙能防什么？防不住什么？ 局限性： 1）不能完全防范外部刻意的人为攻击； 2）不能防范内部用户攻击防火墙不适用于内部人员的攻击； 3）不能防止内部用户因误操作而造成口令失密受到的攻击； 4）很难防止病毒或者受病毒感染的文件的传输。 堡垒主机是一台完全暴露给外网攻击的主机。由于堡垒主机完全暴露在外网安全威胁之下，需要做许多工作来设计和配置堡垒主机，使它遭到外网攻击成功的风险性减至最低。