网络安全第5章 防火墙与入侵检测技术.ppt

第5章　防火墙与入侵检测技术 5.1　防火墙概述 5.1.1　防火墙的概念 1．防火墙（FIREWALL）的定义 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski（Internet Security公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。 William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：只允许本地安全策略授权的通信信息通过；双向通信信息必须通过防火墙；防火墙本身不会影响信息的流通。 1．防火墙的定义 防火墙是指隔离内部网络与外部网络之间的一道防御系统。 防火墙是用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互连设备，通常由软件和硬件设备组合而成，处于内部网络与外部网络之间。 防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。 防火墙的位置 防火墙实现层次 2．使用防火墙的目的 （1）限制访问者进入被严格控制的点。 （2）防止侵入者接近内部设施。 （3）限制访问者离开被严格控制的点，有效的保护内部资源。 （4）检查、过滤和屏蔽有害的服务。 典型的防火墙具有以下三个方面的基本特性： （1）所有进出网络的数据流都必须经过防火墙。否则就失去了防火墙的主要意义了。 （2）只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能－－审计和过滤数据。 （3）防火墙自身应具有非常强的抗攻击的能力。如果防火墙自身都不安全，就不可能保护内部网络的安全。 4.防火墙的组成 防火墙由四大要素组成： 安全策略：是一个防火墙能否充分发挥作用的关键。哪些数据不能通过防火墙、哪些数据可以通过防火墙；防火墙应该如何部署；应该采取哪些方式来处理紧急的安全事件；以及如何进行审计和取证工作等等，这些都属于安全策略的范畴。 内部网络：需要受保护的网络。 外部网络：需要防范的外部网络。 技术手段：具体的实施技术。 5.防火墙的局限性 （6） 防火墙不能防止利用服务器系统漏洞所进行的攻击。 （7） 防火墙不能防范病毒。由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。 （8） 防火墙不能防止数据驱动式的攻击。防火墙不可能对所有主机上运行的文件进行监控，无法预计文件执行后所带来的结果。 （9） 防火墙不能防止内部的泄密行为。 （10）防火墙不能防止本身的安全漏洞的威胁。 （11）防火墙不能防备全部的威胁。作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 5.1.2　防火墙的功能 5.1.2　防火墙的功能 5.2.1　防火墙的类型与技术 1．数据包过滤 数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，来确定是否允许该数据包通过。 包的入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会被转发；如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃；如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。 1．数据包过滤 包过滤技术的原理在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。 基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤。 由于Internet与Intranet的连接多数都要使用路由器，所以路由器成为内外通信的必经端口。过滤路由器也可以称作包过滤路由器或筛选路由器（Packet Filter Router）。 1．数据包过滤 包过滤路由器对所接收的每个数据包做允许/拒绝的决定。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。只有满足过滤规则的数据包才被转发到相应的网络接口，其余数据包则被丢弃。 过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协议（TCP、UDP、ICMP）、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位。 1．数据包过滤 包过滤防火墙就是这样一个具备包过滤功能的路由器，这种防火墙应该是足够安全的，但前提是配置合理。 然而，一个包过滤规则是否完全严密