Internet防火墙技术基础.doc

Internet防火墙技术基础 第一节 防火墙技术简介 3 一、防火墙基本概念 3 1.什么是防火墙 3 2.防火墙的优点 3 3.防火墙的缺点 3 二、防火墙基本原理 3 1.OSI网络安全体系结构 3 2.防火墙模型 3 3.防火墙的类型 4 4.防火墙安全策略 4 第二节 防火墙体系结构 5 一、包过滤器 5 1.工作原理 5 2.过滤规则 5 3.优点 5 4.缺点 5 5.应用场合 5 二、双宿主机 6 1.工作原理 6 2.特点 6 3.双宿网关防火墙 6 4.实例 6 三、屏蔽主机 6 1.工作原理 6 2.特点 7 四、屏蔽子网 7 1.工作原理 7 2.特点 7 3.各种变形 7 五、堡垒主机 8 1.基本思想 8 2.设计原则 8 3.结构形式 8 第三节 防火墙关键技术 8 一、包过滤技术 8 1.包过滤模型 8 2.包过滤规则的组成 8 二、应用级代理 9 1.基本原理 9 2.代理的优点 9 3.代理的缺点 9 4.使用代理的原则 9 5.使用SOCKS进行代理 10 三、地址翻译技术 10 1.基本原理 10 2.翻译模式 10 四、虚拟专用网（VPN） 10 1.基本原理 10 2.基本功能 10 3.特点 10 4.VPN中的安全协议 10 5.基本类型 11 6.VPN的实现 11 五、其他防火墙技术 11 第一节 防火墙技术简介 一、防火墙基本概念 1.什么是防火墙 一个独立的进程或一组紧密结合的进程，运行于路由器或服务器上，通过控制经过防火墙的网络应用程序的通信流量，加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络设备不被破坏，防止内部网络数据被窃取。 2.防火墙的优点 集中化的网络安全管理； 保护网络中脆弱的服务； 在防火墙上可以方便地监视网络的安全性，并产生报警和日志； 在防火墙上可进行网络地址转换NAT（Network Address Translation）； 可增强网络的保密性； 是审计和记录网络流量的最佳场所； 可作为部署WWW服务器和FTP服务器的理想场所 3.防火墙的缺点 必须限制有用（但安全性较差）的网络服务； 无法防范内部网络用户的攻击； 无法防范绕过防火墙的攻击； 不能防止病毒的传播； 无法防范数据驱动型攻击； 二、防火墙基本原理 1.OSI网络安全体系结构 物理层 数据联路层 网络层 传输层 会话层 表示层 应用层 对等实体鉴别 ( ( ( 访问控制 ( ( ( ( ( 连接保密 ( ( ( ( ( ( 选择字段保密 ( ( 报文流安全 ( ( ( 数据完整性 ( ( ( ( 数据源鉴别 ( 禁止否认服务 ( 2.防火墙模型 3.防火墙的类型 双宿主机； 屏蔽主机； 屏蔽子网 4.防火墙安全策略 未被允许就是被禁止；未被禁止就是被允许； 用户帐号策略； 用户权限策略； 信任关系策略； 包过滤策略； 认证策略； 签名策略； 数据加密策略； 密钥分配策略； 审计策略 第二节 防火墙体系结构 一、包过滤器 1.工作原理 以所收到的IP数据包的源地址、目的地址、封装协议类型（TCP、UDP、ICMP等）、源端口号、目标端口号及ICMP报文类型等信息为依据，由预先设置好的过滤规则决定是否允许（或拒绝）该IP数据包通过。 2.过滤规则 过滤规则的组成： 过滤规则序号FRNO（Filter rule Number）； 动作（Action）：允许（Allow）或禁止（Block）； 源IP地址SIP（Source IP address）； 源端口SP（Source Port）； 目的IP地址DIP（Destination IP address）； 目的端口DP（Destination Port）； 协议标志PF（Protocol Flag option）； 注释（Comment） 过滤规则的制定： 3.优点 一台包过滤器就可保护整个网络； 处理速度快； 对用户透明； 可集成到路由器中，实现方便； 4.缺点 过滤规则定义较复杂，不利于维护和测试； 只能防范一种IP欺骗（外部主机伪装内部主机的IP）； 不能防范数据驱动式攻击（如通过E-mail）； 不支持有效的用户验证； 不能提供有效的日志； 过滤器数量较大时会影响路由器的吞吐量； 无法对网上信息提供全面的控制 5.应用场合 机构是非集中化管理； 机构没有强大的集中安全策略； 网络中主机较少； 主要依靠主机安全来防止入侵； 无法使用DHCP动态分配IP地址 二、双宿主机 1.工作原理 使用带有两个网络接口的主机（Dual-Homed Host）代替路由器执行安全控制功能，同时完成路由寻径工作： 2.特点 使用用户帐号控制对内部网