[IT认证]9 防火墙.pptVIP

防火墙的目的 一是限制人们从一个特别的控制点进入；防止侵入者接近内部设施； 二是限定人们从一个特别的点离开；有效的保护内部资源。 使用防火墙的好处 防止易受攻击的服务：防火墙可以过滤不安全的服务来降低子网上主系统所冒的风险 控制访问网点系统：有能力控制对网点系统的访问。例如，除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对其主系统的访问。 集中安全性：保证可信网络和不可信网络之间的流量必须通过防火墙，因此，可以在防火墙设置统一的策略管理，而不是分散到每个主机中。 使用防火墙的好处 增强的保密、强化私有权：使用防火墙系统，站点可以防止finger以及DNS域名服务。finger会列出当前使用者名单，他们上次登录的时间，以及是否读过邮件等等。防火墙也能封锁域名服务信息，从而使Internet外部主机无法获取站点名和IP地址。 有关网络使用、滥用的记录和统计 政策执行：防火墙可提供实施和执行网络访问政策的工具。事实上，防火墙可向用户和服务提供访问控制。 网络政策 有两级网络政策会直接影响防火墙系统的设计、安装和使用。 高级政策是网络访问政策，它用来定义那些受限制的网络许可或明确拒绝的服务，如何使用这些服务以及这种政策的例外条件。 低级政策描述防火墙实际上如何尽力限制访问，并过滤在高层政策所定义的服务。 服务访问政策 Internet防火墙是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功，机构必须知道其所有保护的是什么。 防火墙可以实施各种不同的服务访问政策。 一个典型的政策可以不允许从Internet访问内部网点，但要允许从内部网点访问Internet。 另一个典型政策是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web服务器和电子邮件服务器。 防火墙设计政策 防火墙设计政策是防火墙专用的。它定义用来实施服务访问政策的规则，阐述了一个机构对安全的看法。Internet防火墙可能会扮演两种截然相反的姿态： （1）拒绝除明确许可以外的任何一种服务。 比较保守，是受推荐的方案。遵循“我们所不知道的都会伤害我们”的观点，因此能提供一个非常安全的环境。但是，能穿过防火墙的服务，无论在数量上还是类型上，都受到很大的限制。 防火墙设计政策 （2）允许除明确拒绝以外的任何一种服务。 第二种则较灵活，可以提供较多的服务。由于将易使用这个特点放在了安全性的前面，所以存在的风险较大。当受保护网络的规模增大时，很难保证网络的安全。例如有一用户，他有权不从标准的Telnet端口(port 23)来提供Telnet服务，而是从另一个Port来提供此服务，由于标准的Telnet端口已被防火墙所禁止，而另一Port没有被禁止。这样，虽然防火墙主观上想禁止提供Telnet服务，但实际上却没有达到这种效果。 防火墙体系结构 防火墙的体系结构一般有 屏蔽路由器结构 双重宿主主机体系结构； 屏蔽主机体系结构； 屏蔽子网体系结构。 屏蔽路由器结构 双重宿主主机体系结构 屏蔽主机体系结构 屏蔽主机体系结构 单地址堡垒主机 屏蔽主机体系结构 双地址堡垒主机 屏蔽主机体系结构 堡垒主机是Internet连接到内部网络的桥梁（例如，传送进来的电子邮件）。仅有某些确定类型的连接被允许。 数据包过滤也允许堡垒主机开放可允许的连接到外部世界。 屏蔽主机体系结构 在屏蔽的路由器中数据包过滤配置可以按下列之一执行： （1）允许其它的内部主机为了某些服务与Internet上的主机连接（即允许那些已经由数据包过滤的服务）。 （2）不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。 屏蔽子网体系结构 屏蔽子网体系结构 屏蔽子网体系结构通过添加周边网络更进一步地把内部网络与Internet隔离开。 屏蔽子网体系结构 堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。 通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。 屏蔽子网体系结构 周边网络 如果攻击者侵入周边网络上的堡垒主机，他也仅能探听到周边网上的通信，内部网络的通信仍是安全的 堡垒主机 堡垒主机是接受来自外界连接的主要入口 内部的客户端的出站：在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器；设置代理服务器在堡垒主机上运行来允许内部的客户端间接地访问外部的服务器。 屏蔽子网体系结构 内部路由器 内部路由器有时被称为阻塞路由器，它保护内部的网络使之免受Internet和周边网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。 内部路由器所允许的