第 7 篇 防火墙.pptVIP

7.4　防火墙的主要应用 7.4.1　防火墙的工作模式 IP地址过滤原理图 TCP/IP数据包发送过程 服务器TCP/UDP 端口过滤 客户机TCP/UDP端口过滤 双向过滤原理图 检查ACK位 1.FTP带来的困难 通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。 2.UDP端口过滤 UDP包没有ACK位，所以不能进行ACK位过滤，UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。 7.4.2　防火墙的配置规则 防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。 （1）Dual-homed方式 此种方式最简单，Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。 （2）Screened-host方式 在此种方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。 （3）Screened-subnet 此种方式包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ），Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。 7.4.3　ISA Server的应用 组织可以有多种联网方案来部署ISA Server，包括以下所述的几种方法。 （1）Internet防火墙 （2）安全服务器发布 （3）正向Web缓存服务器 （4）反向Web缓存服务器 （5）防火墙和Web缓存集成服务器 7.5　下一代防火墙 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征，服务提供方提供的服务形态、遵循的协议都比较固定和专一，随着社会化网络Web2.0时代的到来，各种服务协议、形态已不再一尘不变，代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。 7.5.1　新的应用带来全新的应用层威胁　 　　1) 恶意软件入侵 　　2) 网络带宽消耗 　　3)机密资料外泄 7.5.2 传统防火墙的弊端 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量，并执行相关的策略。对于WEB2.0应用来说，传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的，因而无法区分各种应用程序，更无法实施策略来区分哪些是不需要的或不适当的程序，或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议，会导致阻止所有基于web的流量，其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用，以及加密后的数据包，甚至不能屏蔽使用非标准端口号的非法应用。 7.5.3 下一代防火墙的安全策略框架 1.智能化识别 2.精细化控制 3.一体化扫描 7.5.3 下一代防火墙功能 1.基于用户防护 2.面向应用安全 3.高效转发平台 4.多层级冗余架构 5.全方位可视化 6.安全技术融合 小结 本章主要介绍了防火墙的基本概念、功能和规则，以及防火墙的分类和体系结构，重点讲述了防火墙的应用方法，以及下一代防火墙的策略框架和功能，学习完本章后可以掌握有关防火墙的相关知识，系统地了解防火墙的应用方法。 /webnew/ /webnew/ 第 7 章　防火墙 【本章要点】 通过本章的学习，可以