基于主机的个人防火墙技术.pptx

防火墙、入侵检测苏京霞信息与电子学院信息安全与对抗技术实验室 主要内容防火墙入侵检测防火墙一、防火墙概述1.防火墙定义 防火墙是一种特殊的网络控制设施，它处于被保护网络和其他网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问策略进行过滤或做出其他操作。合法数据包合法数据包防火墙Internet外部网络内部网络非合法数据包基本防火墙示意图2.防火墙功能(1)防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。 防火墙可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 (2)防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。(3)对网络存取和访问进行监控审计 防火墙能记录下所有经过防火墙的访问，并对这些访问作出日志记录，同时也能提供网络使用情况的统计数据。 当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。(4) 防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响3.特性（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处网络位置的特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时，才可以全面、有效地保护内部网络不受侵害（2）只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速地从更重要的链路转发到另外的链路上去。（3）防火墙自身应具有非常强的抗攻击免疫力 防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻要面对黑客入侵，这就要求防火墙自身要具有非常强的抗攻击能力。二、防火墙的关键技术1.包过滤技术 包过滤技术就是通过对各种网络应用、通信类型和端口的使用来规定安全过滤规则。 符合安全过滤规则的数据包允许通过，不符合安全规则的数据包拒绝通过。 根据预先的定义执行记录该信息、发送报警信息给管理人员。 包过滤技术主要是对数据包的包头的各个字段进行操作源IP地址目的IP地址协议类型（TCP、UDP、ICMP）IP选项源、目的端口数据包传递的方向静态包过滤 静态包过滤防火墙是根据流经该设备的数据包地址信息，来决定是否允许该数据包通过。 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。简单包过滤防火墙包过滤技术的优点：（1）包过滤技术实现简单、快速。经典的解决方案只需要在内部网络与外部网络之间的路由器上安装过滤模块即可。（2）包过滤技术的实现对用户是透明的。用户不需要改变自己的网络访问行为模式，也不需要在主机上安装任何的客户端软件，更不用进行任何的培训。（3）包过滤技术的检查规则相对简单，因此检查操作耗时极短，执行效率非常高，不会给用户网络的性能带来不利的影响。包过滤技术存在的问题：（1）包过滤技术过滤思想简单，对信息的处理能力有限。只能访问包头中的部分信息，不能理解通信的上下文，因此不能提供更安全的网络防护能力。（2）当过滤规则增多时，对于过滤规则的维护是一个非常困难的问题。（3）包过滤技术控制层次较低，不能实现用户级控制。特别是不能实现对用户合法身份的认证及对冒用的IP地址的确定 动态包过滤 可以动态根据实际应用请求，自动生成或删除相应包过滤规则，而无需管理人员干预。 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中改进和扩展2.代理技术 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和