第04章节 防火墙技术.ppt

计算机网络研究室 防火墙的发展简史 第一代防火墙：包过滤（PacketFilter）技术。 第二、三代防火墙：1989年，推出电路层防火 墙和应用层防火墙的初步结构。 第四代防火墙：1992年，基于动态包过滤技术。 第五代防火墙：1998年，NAI公司推出一种自 适应代理技术。 防火墙基础：基本概念 什么是防火墙 防火墙是设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络 防火墙在开放和封闭的界面上构造一个保护层，属于内部范围的业务，依照协议在授权许可下进行；外部对内部网络的访问受到防火墙的限制 防火墙的功能 过滤进出网络的数据 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 防火墙基础：基本安全策略 默认安全策略 没有被允许就是禁止 没有被禁止就是允许 整体安全策略内容 用户帐号策略 用户权限策略 信任关系策略 包过滤策略 认证策略 签名策略 数据加密策略 密钥分配策略 审计策略 防火墙基础：设置原则 过滤不安全服务的原则 防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放 这是一种非常有效实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才能允许用户使用 屏蔽非法用户的原则 防火墙可先允许所有的用户和站点对内部网络的访问，然后网络管理员按照 IP 地址对未授权的用户或不信任的站点进行逐项屏蔽 这种方法构成了一种更为灵活的应用环境，网络管理员可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限 防火墙基础：模型 防火墙基础：优点 允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客、网络破坏者等）进入内部网络： 禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。防火墙能够简化安全管理，网络安全性在防火墙系统上得到加固，而不是分布在内部网络的所有主机上 保护网络中脆弱的服务： 防火墙通过过滤存在安全缺陷的网络服务来降低内部网遭受攻击的威胁，因为只有经过选择的网络服务才能通过防火墙 例如，防火墙可以禁止某些易受攻击的服务（如NFS等）进入或离开内部网，这样可以防止这些服务被外部攻击者利用，但在内部网中仍然可以使用这些局域网环境下比较有用的服务，减轻内部网络的管理负担 通过防火墙，管理员可以很方便地监视网络的安全性，并产生报警信息 集中安全性： 如果一个内部网络的所有或大部分需要改动的程序以及附加的安全程序都能集中地放在防火墙系统中，而不是分散到每个主机中，这样网络的保护功能就相对集中，安全成本相对便宜 尤其对于口令系统或身份认证软件等等，放在防火墙系统中优于放在每个外部网络能访问的主机上 增强保密性、强化私有权： 某些看似不甚重要的信息往往会成为攻击者攻击的开始。如使用防火墙系统，网络节点可阻塞finger 以及DNS域名服务。因为攻击者经常利用finger列出当前使用者名单，以及一些用户信息。DNS服务能提供一些主机信息。防火墙能封锁这类服务，从而使得外部网络主机无法获取这些有利于攻击的信息 争议及不足 限制有用的网络服务： 防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务（如telnet、ftp等）。由于绝大多数网络服务设计之初根本没有考虑安全性，只考虑使用的方便性和资源共享，所以都存在安全问题 不能有效防护内部网络用户的攻击 目前大部分防火墙只提供对外部网络用户攻击的防护。对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。防火墙无法禁止内部用户对网络主机的各种攻击，因此，堡垒往往从内部攻破。所以必须对雇员们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性 Internet防火墙无法防范通过防火墙以外的其它途径的攻击： 例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过PPP（Point to Point）连接进入Internet，从而绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的 防火墙不能完全防止传送已感染病毒的软件或文件： 这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。解决该问题的有效方法是每个客户机和服务器都安装专用的防病毒系统，从源头堵住，防止病毒从软盘或其它来源进入网络系统 防火墙无法防范数据驱动型的攻击: 数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到主机上。一旦执行就开始攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵