计算机网络与信息安全技术课件作者俞承杭章节08防火墙技术.ppt

尚辅网 / * 防火墙技术 第 8 章 基本内容 在网络安全技术中，防火墙是第一道防御屏障。一般它位于路由器之后，为进出网络的连接提供安全访问控制。本章介绍防火墙技术的原理和应用。 8.1 防火墙概述 8.1 防火墙概述 通常意义上的防火墙： ◆不同安全级别的网络或安全域之间的唯一通道 ◆只有被防火墙策略明确授权的通信才可以通过 ◆系统自身具有高安全性和高可靠性 注意区分个人防火墙、病毒防火墙 防火墙是位于两个(或多个)网络间，实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”，它是最重要的网络防护设备之一。 1、基本概念 8.1 防火墙概述 2、防火墙的功能 防火墙的基本功能：访问控制 基于源MAC地址 基于目的MAC地址 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于方向 基于时间 基于用户 基于流量 基于内容 路由功能 NAT功能 VPN功能 用户认证 8.1 防火墙概述 2、防火墙的功能(续) 防火墙的扩展功能： 带宽控制 日志审计 流量分析 8.2 防火墙在网络中的位置 安装防火墙以前的网络 8.2 防火墙在网络中的位置 安装防火墙后的网络 DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。 通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。这样，不管是外部还是内部与对外服务器交换信息数据也要通过防火墙，实现了真正意义上的保护。 8.2 防火墙在网络中的位置 DMZ区(demilitarized zone，也称非军事区) 8.3 防火墙的体系结构 防火墙的体系结构一般有以下几种: 1）双重宿主主机体系结构。 2）屏蔽主机体系结构。 3）屏蔽子网体系结构。 8.3 防火墙的体系结构 1、双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。可充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。 实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 8.3 防火墙的体系结构 2、屏蔽主机体系结构 屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。 堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁 数据包过滤也许堡垒主机开放可允许的连接到外部世界 8.3 防火墙的体系结构 3、屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离开。 最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。 一个位于周边网络与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。 8.3 防火墙的体系结构 3、屏蔽子网体系结构(续) 侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，它将仍然必须通过内部路由器。 软件防火墙和硬件防火墙以及芯片级防火墙。 8.4 防火墙的类型与特点 8.4.1 按物理实体分类 X86架构 （PC架构工控机） NP架构 （网络处理器） ASIC架构 （专用集成电路） 至少应具备三个端口，分别接内网、外网和DMZ区（非军事区） 防火墙的工作方式主要分包过滤型和应用代理型两种。 8.4 防火墙的类型与特点 8.4.2 按工作方式分类 1．包过滤型 包过滤（Packet filtering）型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 8.4 防火墙的类型与特点 8.4.2 按工作方式分类（续） 2．应用代理型 应用代理型防火墙(A