网络安全教程8章.pptVIP

第8章 防火墙技术 8.1防火墙的定义 从狭义上来讲，防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备，是安装了防火墙软件的主机、路由器或多机系统；从广义上讲，防火墙还包括了整个网络的安全策略和安全行为，是一整套保障网络安全的手段 防火墙是这样一个或一组网络安全设备，它位于内部网络和外部网络之间某一个适当的扼制点上，来限制外部非法用户访问内部网络资源和内部非法向外传递信息 防火墙的主要功能有： （1）控制不安全的服务 （2）控制访问站点 （3）集中式安全保护 （4）增强私有资源的保密性 （5）网络日志记录和使用统计 防火墙的优缺点 １．防火墙的优点 （1）防火墙能强化安全策略 （2）防火墙能有效地记录Internet上的活动 （3）防火墙限制暴露用户点 （4）防火墙是一个安全策略的检查站 （5）可作为中心“扼制点” （6）产生安全报警 （7）NAT的理想位置 （8）WWW和FTP服务器的理想位置 ２．防火墙的缺点 （1）不适用于内部人员的攻击防范 （2）不能防范恶意的知情者和不经心的用户 （3）不能防范不通过它的连接 （4）防火墙不能直接抵御恶意程序 （5）防火墙无法防范数据驱动型的攻击。 8.2 防火墙的工作方式 8.2.1硬件方式 硬件防火墙是在内部网与Internet之间放置一个硬件设备，以隔离或过滤外部人员对内部网络的访问 8.2.2软件方式 采用软件方式保护内部网络不受外来用户的攻击，在Web主机上或单独一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据起到过滤作用，从而保护内部网免受破坏。如代理服务器（Proxy Server） 8.2.3混合方式 一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器和代理服务器通常组合在一起构成混合系统，其中屏蔽路由器主要用来防止IP欺骗攻击。代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。 8.4 防火墙的体系结构 防火墙的体系结构一般有以下几种：双重宿主主机体系结构、被屏蔽主机体系结和被屏蔽子网体系结构。 １．双宿主主机体系结构 双宿主主机的防火墙体系结构是相当简单的：双宿主主机位于两者之间，并且被连接到因特网和内部的网络。 双宿主主机防火墙通过运行一组应用层代理（PROXY）软件或链路层代理软件进行工作。 ２．屏蔽主机体系结构 屏蔽主机体系结构防火墙系统，采用包过滤路由器和堡垒主机组成，实现了网络层安全（包过滤）和应用层安全（代理服务）。入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。安全等级比上一个防火墙系统要高。 ３．屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。 周边网络是一个被隔离的子网,位于Internet和内部网络之间，用两台屏蔽路由器将这一子网分别与Internet和内部网络分开。 屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间（通常为Internet）。 8.5 防火墙的主要技术 防火墙系统的实现技术一般分为三种——包过滤 （packet filter） 技术、代理服务 （ proxy service）技术和主动检测技术。 8.5.1包过滤技术 包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。 包过滤是基于路由器的技术, 必须用在路由器上，它通常由包过滤路由器对IP包进行选择，允许或拒绝特定的包通过。 包过滤基于IP包的下列情况进行的： l???????? 源IP地址或目的IP地址 l???????? TCP/UDP源端口（或服务类型） l???????? TCP/UDP目的端口（或服务类型） １．包过滤技术的优点： 一个过滤路由器能协助保护整个网络 数据包过滤对用户透明 过滤路由器速度快、效率高 ２．包过滤技术的缺点 不能彻底防止地址欺骗 一些应用协议不适合于数据包过滤 正常的数据包过滤路由器无法执行某些安全策略 数据包工具存在很多局限性 8.5.2代理服务技术 代理服务是另一种防火墙技术，它直接和应用服务程序打交道，不会让数据包直接通过，而是自己接收了数据包，并对其进行分析；当代理程序理解了连接请求之后，将启动另一个连接，向外部网络发送同样的请求，然后将返回的数据发送回那个提出请求的内部网计算机。 在有代理服务的情况下，内部网络的计算机必须配置具体