第7章_防火墙.ppt

　　(1) 服务控制：控制可以访问的Internet 服务类型，包括向内和向外。 　　(2) 方向控制：控制一项特殊服务所要求的方向。 　　(3) 用户控制：控制访问服务的人员。 　　(4) 行为控制：控制服务的使用方式，如e-mail过滤等。 　 7.1.2 防火墙的功能 　　一般而言，一个单位的内部网络组成结构复杂，各节点通常自主管理，但机构有整体的安全需求和显著的内外区别。通过部署和使用防火墙，不但可以贯彻执行单位的整体安全策略，防止外部攻击，还可有效地隔离不同网络，限制安全问题扩散，也可有效地记录和审核Internet上的活动。 7.1.3 防火墙的局限性 　　防火墙不能对内部威胁提供防护支持，也不能对绕过防火墙的攻击提供保护。受性能限制，防火墙不能有效地防范数据内容驱动式攻击，对病毒传输的保护能力也比较弱。为了提高安全性，防火墙系统限制或关闭了一些有用但存在安全缺陷的网络服务，从而给用户造成了使用的不便，这可能带来传输延迟、性能瓶颈及单点失效。另外，作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。 7.2 防火墙采用的技术 　　第一代防火墙几乎与路由器同时出现，采用了包过滤(Packet Filter)技术。1989年，推出了电路层防火墙和应用层防火墙的初步结构。1992年，开发出了基于动态包过滤技术的第四代防火墙。1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。 　　第四代防火墙利用NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP地址和专用网络，并详尽记录每一个主机的通信，确保每个分组送往正确的地址。 　　第四代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。 　　第四代防火墙采用一次性使用的口令字系统来作为用户的认证手段，并实现了对邮件的加密。 为满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP，出站UDP、FTP、SMTP等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持方便地设置。 　　VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。目前的防火墙都提供VPN服务。 7.2.1 包过滤技术 　　采用这种技术的防火墙产品，通过在网络中适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎规则的数据包通过防火墙进入到内部或外部网络，而将不合乎规则的数据包加以丢弃，如图7-2所示。 　　包过滤防火墙一般是根据流经该设备的数据包地址信息、数据包的协议类型、路由信息、流向等首部信息，来决定是否允许该数据包通过。对于IP数据包而言，其判断依据有：① 源、目的IP地址和源、目的端口；② 数据包协议类型，如TCP、UDP、ICMP、IGMP等；③ IP路由选项；④ TCP标志位选项，如SYN、ACK、FIN、RST等；⑤ 数据包流向或流经的网络接口，如in或out等。 　　目前，普通路由器、个人防火墙软件、商业版防火墙产品，以及一些开源防火墙软件如Iptables、Ipfilter都提供了包过滤功能。 　　例7-1 Windows XP防火墙配置与使用。 　　防火墙的启用：[开始]→[程序]→[附件]→[通讯]→[网络连接]，打开网络连接对话框，点击[更改Windows防火墙设置]选项，出现[Windows防火墙]对话框，再点击[启用]按钮，如图7-3所示。 　　当要拒绝所有连接时，选择“不允许例外”复选框，此时安全性最高，Windows阻止程序时不通知用户，并且在“例外”选项卡中的程序也会被阻止。当本机需要对外提供服务时，不选中“不允许例外”复选框，则在“例外”选项卡中的程序或端口允许被访问，不在“例外”选项卡中的端口和程序将不允许被外界访问。 　　转到“例外”选项卡，添加允许端口：例如当本机需要对外界提供WWW服务时，将开放80端口等待/监听客户端连接，点选添加端口，输入端口名、端口号和使用协议，则外界只允许访问本机80端口，即WWW服务，其他端口/服务都拒绝被访问。 7.2.2 应用代理技术 　　应用代理防火墙运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于服务