防火墙-计算机安全保密.ppt

2006-9-1 第九章 防火墙 9.1 防火墙概述 9.2 网络策略 9.3 防火墙体系结构 9.4 包过滤技术 9.5 代理服务技术 9.1 防火墙概述 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，提出了防火墙的概念，防火墙技术得到了飞速的发展。 防火墙是一种用来加强网络之间访问控制的特殊网络设备; 防火墙位于受保护的内部网络连接到Internet的点上，它对传输的数据包和连结方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被准许。(网络的边界上) 9.1 防火墙概述 防火墙的服务有两个目的： 限制人们对某特定控制点的进入，防止侵入者接近内部设施； 限制人们对某特定控制点的离开，有效地保护内部资源。 防火墙示意图 9.1 防火墙概述 防火墙的边界 逻辑上，防火墙是分离器、限制器和分析器。 物理上，防火墙是工作在网络层的一组软硬件设备。 9.1 防火墙概述 防火墙的功能要求所有进出网络的通信流都应该通过防火墙，所有穿越防火墙的通信流都必须有安全策略和计划的确认和授权。 防火墙按照规定好的配置和规则，监测并过滤所有通向外部网和从外部网传入的信息，只准许授权的数据通过。 9.1 防火墙概述 防火墙还记录有关连结的来源、服务器提供的通信量以及试图闯入者的任何企图，以方便管理员的监督和跟踪。 9.1 防火墙概述 使用防火墙的好处： 防护易受攻击的服务 控制访问网点的系统 集中安全性 增强保密性，强化私有权 提供有关网络使用、滥用的记录和统计。 政策执行 9.1 防火墙概述 防火墙的缺点： 不能防止内部攻击 不能防范不通过它的联接 不能防止全部的威胁 防火墙不能防范病毒 防火墙不能防止数据驱动式攻击：Java,JavaScript,Active X等。 防火墙的发展过程 防火墙的发展过程 (1) 基于路由器的防火墙 由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 防火墙的发展过程 特点 ① 利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤。 ② 过滤判决的依据可以是：地址、端口号、IP旗标及其他网络特征。 ③ 只有分组过滤功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作为防火墙。 防火墙的发展过程 不足 ① 本身具有安全漏洞，外部网络要探寻内部网络十分容易。 ② 分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，带来很多错误。 ③ 攻击者可“假冒”地址，可以在网络上伪造假的路由信息欺骗防火墙。 ④ 路由器功能与防火墙矛盾，防火墙的规则设置会大大降低路由器的性能。 防火墙的发展过程 (2) 第二代防火墙： 将过滤功能从路由器中独立出来，并加上审计和告警功能。 针对用户需求，提供模块化的软件包。 与第一代防火墙相比，安全性提高而价格降低了。 防火墙的发展过程 由于是纯软件产品，在实现与维护上都对系统管理员提出了相当复杂的要求。 问题：① 配置和维护过程复杂、费时； ② 对使用者技术要求高； ③ 全软件实现，导致安全性和处理速度均有局限。 ④ 使用中出现差错的情况很多。 防火墙的发展过程 (3) 第三代防火墙： 第三代防火墙是建立在通用操作系统上的防火墙。 第三代防火墙有以纯软件实现的，也有以硬件方式实现的。 防火墙的发展过程 特点 ①具有分组过滤功能。 ②装有专用的代理系统，监控所有协议的数据和指令。 ③用户可配置、设置内核参数。 ④提高了安全性和速度。 ⑤商用化。 防火墙的发展过程 存在的问题： ①作为基础的操作系统，其内核往往不为防火墙管理者所知，其安全性无从保证。 ②通用操作系统不会对防火墙的安全性提供保证。 防火墙的发展过程 (4) 第四代防火墙 具有安全操作系统的防火墙本身就是一个操作系统，因而安全性得到本质的提高。 获得安全操作系统的办法有两种： ①通过许可证方式获得操作系统的源码； ②另一种是通过固化操作系统内核来提高可靠性。 防火墙的发展过程 特点 ①防火墙厂商具有操作系统的源代码，可实现安全内核。 ②对安全内核实现加固处理：去掉不必要的系统特性，加上内核特性，强化安全保护。 ③对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁。 ④在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能。 ⑤透明性好，易于使用。 防火墙的局限性 网络安全问题变化莫测，构建安全网络系统防火墙是必不可少，但防火墙并非万无一失的。 协议不安全，TCP/IP协议存在难以完全根除的安全缺陷，如缺乏加密认证机制、T