第7章互联网网络安全《物联网安全导论》.ppt

7.2 防火墙技术 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。自然，这种墙被命名为“防火墙”。 为安全起见，可以在本网络和Internet之间插入一个中介系统，阻断来自外部通过网络对本网络的威胁和入侵，这种中介系统叫做“防火墙” 。 7.2.1防火墙的基本概念 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。 接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。 Internet防火墙决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。 7.2.1防火墙的基本概念 1、 Internet防火墙与安全策略的关系 防火墙不仅仅是路由器、堡垒主机、或任何网络安全的设备的组合，防火墙是安全策略的一个部分。 　安全策略建立全方位的防御体系，包括：公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。 7.2.1防火墙的基本概念 (1) 防火墙的功能 防火墙的功能有两个：阻止和允许。 “阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。 “允许”的功能与“阻止”恰好相反。 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。 7.2.1防火墙的基本概念 (2) 联网监控 在防火墙上可以很方便的监视网络的安全性，并产生报警。（注意：对一个与Internet相联的内部网络来说，重要的问题并不是网络是否会受到攻击，而是何时受到攻击？谁在攻击？） 网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。 7.2.1防火墙的基本概念 (3) 防火墙在互连网络中的位置 防火墙内的网络称为“可信赖的网络”(trusted network)，而将外部的因特网称为“不可信赖的网络”(untrusted network)。 7.2.2 防火墙的技术类别 　1. 包过滤防火墙 　采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤。 检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素， 然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。 7.2.2 防火墙的技术类别 2. 代理服务器防火墙 代理服务器运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。 当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。 7.2.2 防火墙的技术类别 3. 状态监视器防火墙 这种防火墙安全特性较好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。 检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全策略的参考。 7.2.3 防火墙的结构 在防火墙与网络的配置上，有三种典型结构： 双宿／多宿主机模式、屏蔽主机模式和屏蔽子网模式。 堡垒主机(bastion host) 堡垒主机是一种配置了较为全面安全防范措施的网络上的计算机，从网络安全上来看，堡垒主机是最强壮的系统。通常情况下，堡垒主机可作为代理服务器的平台。 7.2.3 防火墙的结构 1. 双宿／多宿主机模式 双宿／多宿主机防火墙(Dual-Homed／Multi-Homed Firewall)是一种拥有两个或多个连接到不同网络上的网络接口的防火墙， 通常用一台装有两块或多块网卡的堡垒主机做防火墙，网卡各自与受保护网和外部网相连。 特点是主机的路由功能是被禁止的，两个网络之间的通信通过应用层代理服务来完成。 7.2.3 防火墙的结构 双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到外部网和内部网。 7.2.3 防火墙的结构 2 屏蔽主机模式 屏蔽主机防火墙(Screened Firewall)由包过滤路由器和堡垒主机组成。 在这种方式的防火墙中，堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为外部网络惟一可直接到达的主机，这保证了内部网络不被未经授权的外部用户的攻击。 7.2.3 防火墙的结构 7.2.3 防火墙的结构 3 屏蔽子网模式 屏蔽子网防火