计算机网络安全技术及实训第章.docVIP

第6章 防火墙技术 [学习目标] 1. 理解防火墙基本概念和防火墙工作原理 2. 掌握防火墙的体系结构和基于防火墙的安全网络结构 3. 学会防火墙产品的购买方案选择 4. 学会配置防火墙 本章要点 防火墙的概念、类型、目的与作用 防火墙的设计与创建 基于防火墙的安全网络结构 硬件防火墙配置与管理 个人防火墙的配置 6.1 防火墙的基本概念 6.1.1 网络防火墙基本概念 什么是防火墙？建筑在山林中的房子大部分是土木结构，防火性能较差。为了防止林中的山火把房子烧毁，每座房子在其周围用石头砌一座墙作为隔离带，这就是本意上的防火墙。防火墙的原意是指在容易发生火灾的区域与拟保护的区域之间设置的一堵墙，将火灾隔离在保护区之外，保证拟保护区内的安全。 网络防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置，强制所有的访问和连接都必须经过这个保护层，并在此进行连接和安全检查。只有合法的数据包才能通过此保护层，从而保护内部网资源免遭非法入侵。 下面说明与防火墙有关的概念。 (1) 主机：与网络系统相连的计算机系统。 (2) 堡垒主机：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点，所以很容易被侵入，因此必须严密保护保垒主机。 (3) 双宿主主机：又称双宿主机或双穴主机，是具有两个网络接口的计算机系统。 (4) 包：在互联网上进行通信的基本数据单位。 (5) 包过滤：设备对进出网络的数据流(包)进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。用户可设定一系列的规则，指定允许(或拒绝)哪些类型的数据包流入(或流出)内部网络。 (6) 参数网络：为了增加一层安全控制，在内部网与外部网之间增加的一个网络，有时也称为中立区（非军事区），即DMZ(Demilitarized Zone)。 (7) 代理服务器：代表内部网络用户与外部服务器进行数据交换的计算机(软件)系统，它将已认可的内部用户的请求送达外部服务器，同时将外部网络服务器的响应再回送给用户。 6.1.2 网络防火墙的目的与作用 构建网络防火墙的主要目的如下所述。 (1) 限制访问者进入一个被严格控制的点。 (2) 防止进攻者接近防御设备。 (3) 限制访问者离开一个被严格控制的点。 (4) 检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏。 网络防火墙的主要作用如下所述。 (1) 有效地收集和记录互联网上的活动和网络误用情况。 (2) 能有效隔离网络中的多个网段，防止一个网段的问题传播到另外网段。 (3) 防火墙作为一个安全检查站，能有效地过滤、筛选和屏蔽有害的信息和服务。 (4) 防火墙作为一个防止不良现象发生的“警察”，能执行和强化网络的安全策略。 6.2 防火墙工作原理 防火墙按其工作原理来看可分为两大类：包过滤型、代理服务型。也可从所采用的技术上看详细分为6种类型：①包过滤型；②代理服务器型；③电路层网关；④混合型；⑤应用层网关；⑥自适应代理技术。 6.2.1 包过滤型防火墙 包过滤型防火墙(Packet Filter Firewall)中的包过滤器一般安装在路由器上，工作在网络层(IP)。它基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息过滤。实际上，它一般允许网络内部的主机直接访问外部网络，而外部网络上的主机对内部网络的访问则要受到限制。 在互联网上提供某些特定服务器一般都使用相对固定的端口号。因此路由器在设置包过滤规则时指定：对于某些端口号允许数据包与该端口交换，或者阻断数据包与它们的 连接。 这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，但缺乏用户日志(Log)和审计信息(Audit)，缺乏用户认证(CA)机制，不具备审核管理，且过滤规则的完备性难以得到检验，复杂过滤规则的管理也比较困难。因此，包过滤型防火墙的安全性较差。 6.2.2 IP级包过滤型防火墙 1. 概述 IP级过滤型防火墙(IP Packet Filter)可看做是一个多端口的交换设备，它对每一个到来的报文根据其报头进行过滤，按一组预定义的规则来判断该报文是否可以继续转发，不考虑报文之间的前后关系。这些过滤规则称为Packet Profile。在具体的产品中，过滤规则定义在转发控制表中，报文遵循自上向下的次序依次运用每一条规则，直到遇到与其相匹配的规则为止。对报文可采取的操作有转发(Forwarding)、丢弃(Dropping)、报错