网络攻防原理课件作者吴礼发17-20第18-19讲-防火墙技术.ppt

第十八讲 防火墙技术 吴礼发，洪征，李华波 （wulifa@ ） 内容提纲 一、基本概念 防火墙的基本概念 防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组安全系统。它是一种计算机硬件和软件系统集合，是实现网络安全策略的有效工具之一，被广泛地应用到Internet与Intranet之间。 所有的内部网络与外部网络之间的通信都必须经过防火墙进行检查与连接，只有授权允许的通信才能获准通过防火墙。 防火墙可以阻止外界对内部网资源的非法访问，也可以防止内部对外部的不安全访问。 防火墙的基本概念 防火墙本身必须具有很强的抗攻击能力，以确保其自身的安全性。防火墙简单的可以只用路由器实现，复杂的可以用主机、专用硬件设备及软件甚至一个子网来实现（体系结构部分将详细介绍）。 网络防火墙的主要功能 保护脆弱和有缺陷的网络服务 集中化的安全管理 加强对网络系统的访问控制 加强隐私 对网络存取和访问进行监控审计 网络防火墙的主要功能(1/5) 保护脆弱和有缺陷的网络服务 防火墙通过过滤不安全的服务而降低风险，能极大地提高一个内部网络的安全性。 例如，防火墙可以禁止Telnet、FTP进出受保护网络，避免外部攻击者利用这些脆弱的协议来攻击内部网络。 网络防火墙的主要功能(2/5) 集中化的安全管理 通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上，集中安全管理更经济。 例如，网络访问时，一次一密口令系统和其它的身份认证系统不必分散在各个主机上，而集中在防火墙上。 网络防火墙的主要功能(3/5) 加强对网络系统的访问控制 一个防火墙的主要功能是对整个网络的访问控制。 比如，防火墙可以屏蔽部分主机，使外部网络无法访问。同样，可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。 网络防火墙的主要功能(4/5) 加强隐私 保护内网信息，避免泄露内部网络的某些安全漏洞。 使用防火墙就可以屏蔽泄露网络内部细节的服务，如Finger 服务，DNS服务。 Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。 内网的DNS将暴露内部主机的域名和IP地址信息。 网络防火墙的主要功能(5/5) 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。 当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 二、分类 防火墙分类（一） 按照软、硬件形式划分 软件防火墙：运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。 硬件防火墙 ：基于PC架构，这些PC架构计算机上运行一些经过裁剪和简化的操作系统 。至少应具备三个端口，分别接内网，外网和DMZ区。 芯片级防火墙 ：基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。 防火墙分类（二） 从防火墙技术分 包过滤(Packet filtering)型 ：工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 应用代理(Application Proxy)型：工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 防火墙分类（三） 从防火墙结构分 单一主机防火墙 ：与一台计算机结构差不多。需要连接一个以上的内、外部网络。用硬盘来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。 路由器集成防火墙：许多中、高档的路由器中已集成了防火墙功能。 分布式防火墙：防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统。不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。 防火墙分类（四） 从防火墙应用部署位置分 边界防火墙 ：位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。也称为“网络防火墙”。 个人防火墙：安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。 混合式防火墙：可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网