第8篇 防火墙技术.pdfVIP

第8章防火墙技术 第8章防火墙技术 本章主要介绍： 1. 防火墙基本概念 2. 防火墙的基本功能 3. 防火墙的体系结构 4. 包过滤 5. 代理服务 6. 堡垒主机以及防火墙的选购原则 8.1 防火墙基本概念 8.1 防火墙基本概念 8.1.1 因特网防火墙 1．防火墙的基本知识 防火墙是在两个网络之间执行访问控制策略的一个 或一组系统，包括硬件和软件，目的是保护网络不被他 人侵扰。本质上，它遵循的是一种允许或阻止业务来往 的网络通信安全机制，也就是提供可控的过滤网络通信， 只允许授权的通信。 通常，防火墙就是位于内部网或Web站点与因特网 之间的一个路由器或一台计算机，又称为堡垒主机。其 目的如同一个安全门，为门内的部门提供安全，控制那 些可被允许出入该受保护环境的人或物。就像工作在前 门的安全卫士，控制并检查站点的访问者。 8.1 防火墙基本概念 8.1 防火墙基本概念 防火墙是由管理员为保护自己的网络免遭外界非授 权访问但又允许与因特网联接而发展起来的。从网际角 度，防火墙可以看成是安装在两个网络之间的一道栅栏， 根据安全计划和安全策略中的定义来保护其后面的网络。 由软件和硬件组成的防火墙应该具有以下功能。 （1）所有进出网络的通信流都应该通过防火墙。 （2 ）所有穿过防火墙的通信流都必须有安全策略和计划 的确认和授权。 （3 ）理论上说，防火墙是穿不透的。 8.1 防火墙基本概念 8.1 防火墙基本概念 内部网需要防范的三种攻击有： 间谍：试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU 资源等。 破坏系统：通过路由器或主机／服务器蓄意破坏文件系 统或阻止授权用户访问内部网 （外部网）和服务器。 这里，防火墙的作用是保护Web站点和公司的内部 网，使之免遭因特网上各种危险的侵犯。 8.1 防火墙基本概念 8.1 防火墙基本概念 防火墙在因特网与内部网中的位置 从逻辑上讲，防火墙是分离器、限制器和分析器。 从物理角度看，各站点防火墙物理实现的方式有所不同。 通常防火墙是一组硬件设备，即路由器、主计算机或者 是路由器、计算机和配有适当软件的网络的多种组合。 8.1 防火墙基本概念 8.1 防火墙基本概念 2 ．防火墙的基本功能 （1）防火墙能够强化安全策略 （2 ）防火墙能有效地记录因特网上的活动 （3 ）防火墙限制暴露用户点 （4 ）防火墙是一个安全策略的检查站 3 ．防火墙的不足之处 （1）不能防范恶意的知情者 （2 ）防火墙不能防范不通过它的连接 （3 ）防火墙不能防备全部的威胁 （4 ）防火墙不能防范病毒 8.1 防火墙基本概念 8.1 防火墙基本概念 8.1.2数据包过滤 防火墙通常是一个具备包过滤功能的简单路由器， 支持因特网安全。这是使因特网联接更加安全的一种简 单方法，因为包过滤是路由器的固有属性。 包是网络上信息流动的单位。在网上传输的文件一 般在发出端被划分成一串数据包，经过网上的中间站点， 最终传到目的地，然后这些包中的数据又重新组成原来 的文件。 每个包有两个部分：数据部分和包头。包头中含有 源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数 据包，读出并拒绝那些不符合标准的包头，过滤掉不应 入站的信息。 8.1 防火墙基本概念 8.1 防火墙基本概念 每个数据包都包含有特定信息的一组报头，其主要 信息是： （1）IP协议类型（TCP、UDP ，ICMP等）； （2 ）IP源地址； （3 ）IP 目标地址； （4 ）IP选择域的内容； （5 ）TCP或UDP源端口号； （6 ）TCP或UDP 目标端口号； （7 ）ICMP消息类型。 路由器也会得到一些在数