第三章 06防火墙技术1页版.pdfVIP

网络安全技术 罗守山 北京邮电大学软件学院 第六讲 防火墙技术 内容提要 1. 防火墙基础 2. 防火墙技术 3 防火墙体系结构 1. 防火墙基础 访问控制策略就是规定了网络不同部分 允许的数据流向，还会指定哪些类型的 传输是允许的，其它传输都将被阻塞。 访问控制相关概念描述： 流向：按信息的流向规定允许的传输行 为。例如由因特网传入内部网络（入站） 的信息或从内部网络发送到因特网(出站) 的信息。 服务：访问的服务器应用程序类型。例如： Web访问（HTTP ）、文件传输协议（FTP ）、 简单邮件传输协议（SMTP ）。 指定主机：有时需要更详细地说明，不只是指 定传输方向。例如：某公司可能希望允许入站 的HTTP访问，但只允许访问某台指定的计算 机。相反，该公司可能只有一个部门需要有因 特网Web服务器访问。 用户个人：许多公司的某些业务只需要特定的 人员完成指定的工作，而不想让每个人都具有 此种访问能力。例如：公司的主管可能需要通 过因特网访问内部网络，因为他总在外地出差。 这样，完成访问控制策略的设备必须对每个试 图访问的人进行授权检查，保证只有主管得以 进入。 时间：有时，公司需要对访问进行限制， 只允许在一天中的某些时刻进行访问。 例如：访问控制策略中可以这样规定， “ 内部用户只能在5:00pm和7:00am之间访 问因特网Web服务器” 。 简而言之，防火墙是一个或一组实施访 问控制策略的系统。当用户决定要提供 何种水平的连接之后，就由防火墙来保 证不允许出现其它超出此范围的访问行 为。由防火墙来保证所有的用户都遵守 访问控制策略。 因特网防火墙是这样的（一组）系统， 它能增强机构内部网络的安全性，用于 加强网络间的访问控制，防止外部用户 非法使用内部网的资源，保护内部网络 的设备不被破坏，防止内部网络的敏感 数据被窃取。 防火墙系统决定了哪些内部服务可以被 外界访问；外界的哪些人可以访问内部 的哪些可以访问的服务，以及哪些外部 服务可以被内部人员访问。 要使一个防火墙有效，所有来自和去往 因特网的信息都必须经过防火墙，接受 防火墙的检查。 防火墙必须只允许授权的数据通过，并 且防火墙本身也必须能够免于渗透。 防火墙系统一旦被攻击者突破或迂回， 就不能提供任何保护了。 Internet防火墙是一种装置，它是由软件 或硬件设备组合而成，通常处于企业的 内部局域网与Internet之间，限制Internet 用户对内部网络的访问以及管理内部用 户访问外界的权限,它的基本系统模型如 下图所示。 基本的防火墙系统模型 换言之，一个防火墙在一个被认为是安 全和可信的内部网络和一个被认为是不 那么安全和可信的外部网络(通常是 Internet)之间提供一个封锁工具。 防火墙是一种被动的技术，因为它假设 了网络边界的存在，它对内部的非法访 问难以有效地控制。 因此防火墙只适合于相对独立的网络， 例如企业的内部的局域网络等。 从实现上来看，防火墙实际上是一个独 立的进程或一组紧密联系的进程，控制 经过它们的网络应用服务及数据。 安全、管理、速度是防火墙的三大要素。 防火墙已成为实现网络安全策略的最有 效的工具之一，并被广泛地应用到 Internet/Intranet 的建设上。 防火墙作为内部网与外部网之间的一种 访问控制设备，常常安装在内部网和外 部网交流的点上。 Internet防火墙是路由器、堡垒主机、或 任何提供网络安全的设备的组合，是安 全策略的一个部分。 如果仅设立防火墙系统，而没有全面的 安全策略，那么防火墙就形同虚设。 全面的安全策略应告诉用户应有的责任， 公司规定的网络访问、服务访问、本地 和远地的用户认证、拨入和拨出、磁盘 和数据加密、病毒防护措施，以及雇员 培训等。