第5章防火墙技术.ppt

计算机网络安全技术 主编 刘永华 第5章 防火墙 本章主要内容： 防火墙的概念、功能和类型 防火墙技术 防火墙的体系结构 防火墙的应用与发展 典型防火墙的应用 ICF的配置 本章要求： 了解防火墙的概念和功能； 了解防火墙技术及分类； 了解防火墙的体系结构； 了解防火墙的应用与发展 了解典型防火墙的应用 了解ICF的配置 本章分为四小节： 5. 1 防火墙概述 5. 2 防火墙技术 5. 3 防火墙的体系结构 5. 4 防火墙的应用与发展 5 . 1 防火墙概述 5.1.1 防火墙的基本概念 1．防火墙是什么 防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。它是一种计算机硬件和软件系统集合，是实现网络安全策略的有效工具之一，被广泛地应用到Internet与Intranet之间。 通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部网的不安全访问和通行安全访问。 防火墙是由软件和硬件组成的，可以说： 所有进出内部网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上，说防火墙是穿不透的。 防火墙的发展 第一代防火墙：1983年第一代防火墙技术出现，它几乎是与路由器同时问世的。它采用了包过滤（Packet filter）技术，可称为简单包过滤（静态包过滤）防火墙。 第二代防火墙：1991年，贝尔实验室提出了第二代防火墙——应用型防火墙（代理防火墙）的初步结构。 第三代防火墙：1992年，USC信息科学院开发出了基于动态包过滤（Dynamic packet filter）技术的第三代防火墙，后来演变为目前所说的状态检测（Stateful inspection）防火墙。1994年，以色列的CheckPoint公司开发出了第一个采用状态检测技术的商业化产品。 第四代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive proxy）防火墙技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理服务器防火墙赋予了全新的意义。 2．防火墙能做什么 (1) 网络安全的屏障 (2) 强化网络安全策略 (3) 对网络存取和访问进行监控审计 (4) 防止内部信息的外泄 (5) 安全策略检查 3．防火墙不能做什么 不能防范内部人员的攻击 不能防范绕过它的连接 不能防备全部的威胁 不能防范恶意程序和病毒 5.1.2 个人防火墙 现在网上流行很多个人防火墙软件，它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件，它是可以直接在用户计算机操作系统上运行的软件服务，使用与状态检测防火墙相同的方式，来保护计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使它们可以监视通过网卡的所有网络通信。 (1) 个人防火墙的优点 增加了保护功能。它具有安全保护功能，可以抵挡外来攻击和内部的攻击。 易于配置。它通常可以使用直接的配置选项获得基本可使用的配置。 廉价。它不需要额外的硬件资源就为内部网的个人用户和公共网络中的单个系统提供安全保护。 (2) 个人防火墙的缺点 接口通信受限。个人防火墙对公共网络只有一个物理接口，而真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。 集中管理比较困难。个人防火墙需要在每个客户端进行配置，这将增加管理开销。 性能限制。个人防火墙是为了保护单个计算机系统而设计的，在充当小型网络路由器时将导致性能下降。这种保护机制通常不如专用防火墙方案有效。 5.1.3 内部防火墙 防火墙主要是保护内部网络资源免受外部用户的非法访问和侵袭。有时为了某些原因，我们还需要对内部网的部分站点再加以保护，以免受内部网其它站点的侵袭。因此，需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立一层防火墙，这就是内部防火墙。 企业内部网络是一个多层次、多节点、多业务的网络，各节点间的信任程度较低，但各节点和服务器群之间又要频繁地交换数据。通过在服务器群的入口处设置内部防火墙，可有效地控制内部网络的访问。企业内部网中设置内部防火墙后，一方面可以有效地防范来自外部网络的攻击行为，另一方面可以为内部网络制定完善的安全访问策略，从而使得整个企业网络具有较高的安全级别。 内部防火墙的用户包括内部网本单位的雇员（如内部网单位本部的用户、本单位外部的用户、本单位的远程用户或在家中办公的用户）和单位的业务合作伙伴。后者的信任级别比前者要低。 许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。 内部防火墙具体可以实现以下功能： 精确地制定每个用户的