第6章 防火墙技术7.ppt

第6章　 防火墙技术 本章学习目标 本章主要介绍了防火墙的概念、分类、体系结构以及有关产品。通过本章的学习，读者应该掌握以下内容： 防火墙及相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙 天网个人防火墙的使用 6.1　防火墙概述 防火墙的发展简史 第一代防火墙：采用了包过滤技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。 6.1.1 防火墙及相关概念 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 防火墙把内部网和外部网隔离，通过事先设定规则来决定哪些情况下防火墙应该隔断内网与外网的通信，哪些情况下允许两者通信。从而 抵挡来自外网对内网的攻击和入侵，保障内网的网络安全； 限制内网用户对外网的访问。 防火墙从逻辑上看，是分离器、限制器和分析器；而从实现方式上看，它可分为硬件防火墙和软件防火墙。 作用是监控进出网络的信息，仅让安全的、符合规则的信息进入内网，为用户提供一个安全的网络环境。 目的 过滤掉不安全的服务和非法用户 防治入侵者接近内网的防御设施 限定内网用户访问特殊站点 为监视Internet安全提供方便 广泛的服务支持 数据的加密支持 实现内外网的通信记录 限制暴露用户点 防止电子欺骗 相关概念 外网：防火墙以外的网络 内网：防火墙以内的网络 非军事化区：将用于向外网提供服务的服务器放置在内、外网之间的一个单独网段 包过滤：在网络层对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每一个数据包，根据其源地址、目的地址及端口等信息来确定是否允许其通过 代理服务器：代表内部用户向外网中的服务器进行连接请求的程序 状态检测技术：抽取相关数据对网络通信的各个层次实行检测，并作为安全决策的依据 虚拟专用网（VPN）：在Internet中配置的专用网络 数据驱动攻击：攻击者将具有破坏性的数据藏匿在普通数据中传送到Internet主机上，当该数据被激活使用时即发生数据驱动攻击 防火墙的基本功能和特性 防火墙的基本功能 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 防火墙的特性 所有内外网的数据通信都必须通过防火墙 只有被授权的合法数据可以通过防火墙 防火墙本身具有预防入侵的功能 使用目前新的安全技术 人机界面良好，用户配置使用方便，易于管理 防火墙的安全策略 防火墙包括一对矛盾（机制） 禁止数据的流通 允许数据的流通 防火墙的安全策略 除非明确允许，否则就禁止特点：安全 不好用 除非明确禁止，否则就允许特点： 好用不安全 防火墙的优缺点 防火墙的优点 强化安全策略 有效记录Internet上的活动 安全策略的检查点 防火墙的缺点 防火墙防外不防内 不能防范不通过防火墙的连接 不能防范全部的威胁 不能防范病毒 网络防火墙和病毒防火墙的区别 病毒防火墙 病毒实时检测和清除系统，是反病毒软件的一种工作模式，监控所有应用程序。 网络防火墙 隔离在内网络与外网之间的一道防御系统，只对存在网络访问的应用程序进行监控。 防火墙的技术分类 包过滤防火墙 代理防火墙 两种防火墙技术的对比 包过滤防火墙 又称筛选路由器，或网络层防火墙 工作在网络层 信息过滤规则是以数据包头信息为基础 在网络层中对数据包实施有选择的通过 分析进出内部网络的所有信息，按照系统事先设定好的过滤规则，检查数据流中每个数据包，根据数据包的特定信息，确定是否允许数据包通过 优点 一个过滤路由器能协助保护整个网络 数据包过滤对用户透明 过滤路由器速度快、效率高 缺点 没有用户的使用记录，无法从访问记录中发现入侵者的攻击记录 不能在用户级别上进行过滤 不支持应用层协议 包过滤防火墙的发展 静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。 动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 代理服务 代表内网用户向外网服务器进行连接请求的程序，工作在应用层 代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用 工作过程 特点 抵挡来自外网对内网的攻击和入侵，保障内网的网络安全；