网络防火墙及配置应用.docVIP

§ 旧课回顾 熟练掌握常见拒绝服务攻击原理及预防方法 熟练掌握Windows 2000/Server 2003系统TCP协议的加固方法。 § 教学重点和难点 熟悉防火墙的基本特性、主要功能、分类、配置基本原则和主要应用等。 学习了解包过滤、应用代理、状态包过滤技术的原理。 第六章 网络防火墙及配置应用 6.1 防火墙基础 6.1.1 防火墙概述 防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。 防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象，真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。 防火墙具有以下3个方面的基本特性： 内部网络和外部网络之间所有网络数据流都必须经过防火墙（图2） 只有符合安全策略的数据流才能通过防火墙（图3） 防火墙自身应具有非常强的抗攻击免疫力（图4） ? 图2 图3 图4 6.1.2 防火墙的主要功能 从防火墙的过滤防护机制来说，防火墙主要有以下几方面的功能： 创建一个阻塞点 隔离不同网络，防止内部信息的外泄 强化网络安全策略 审计和记录内、外部网络上的活动 6.2 防火墙的分类 目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen、3COM等，国内主流厂商为东软、天融信、华为、联想、方正和神州数码等，它们都提供不同级别的防火墙产品。 6.2.1 从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。 (1) 软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就像其它软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。软件防火墙通常是被称之为“个人防火墙”，因为它主要面向个人用户。如天网防火墙、江民防火墙、金山毒霸防火墙、瑞星防火墙、东软软件防火墙等。 (2) 硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 (3) 芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。 6.2.2从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (1) 单一主机防火墙：是最为传统的防火墙，独立于其它网络设备，它位于网络边界。 这种防火墙其实与一台计算机结构差不多（如下图），同样包括CPU、内存、硬盘等基本组件，当然主板更是不能少了，且主板上也有南、北桥芯片。它