第4章节 防火墙技术概论.ppt

第4章 防火墙技术 4.1 防火墙概念 4.2 防火墙威胁 4.3 管理防火墙 4.4 数据包过滤 4.5 选择和维护防火墙 4.1 防火墙概念 1．什么是防火墙 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。 4.1 防火墙概念 （1）.数据安全的特征 防火墙从本质上说是一种保护装置，用来保护网络数据、资源和用户的声誉。 数据——保密性、完整性和可用性。 （2）. 防火墙的目的 限定人们从一个特别的节点进入； 防止入侵者接近你的防御设施； 限定人们从一个特别的节点离开； 有效的组织破坏者对正常用户的计算机系统进行破坏。 4.1 防火墙概念 2．防火墙能做什么 能强制执行设定的安全策略。 能有效记录穿过防火墙的信息。 能限制内部网络的暴漏。 3．防火墙不能做什么 不能防范从内部的恶意破坏。 不能防被完全新的威胁。 不能防被病毒 4.1 防火墙概念 4．防火墙的控制访问系统 信息包过滤器 线路中继器 应用网关 5．电子商务中需要防火墙保护的服务 电子邮件 文件传输 远程终端访问和命令执行 ）Web服务 4.1 防火墙概念 防火墙的优点： 1. 防火墙能强化安全策略； 2. 防火墙能有效地记录Internet上的活动； 3. 防火墙可以实现网段控制； 4. 防火墙是一个安全策略的检查站。 4.1 防火墙概念 4.2 防火墙威胁 防火墙面临的威胁有：入侵，拒绝服务、劫持、数据包嗅探和伪认证。 入侵 拒绝服务 劫持 数据包嗅探 伪认证 4.3 管理防火墙 4.3.1 防火墙体系结构 4.3.2 防火墙与Web服务器之间的配置策略 4.3.3 网络安全策略 4.3.4 构筑堡垒主机 4.3.1 防火墙体系结构 1．包过滤防火墙 如图所示 ：有较好的透明性，但不够安全。 4.3.1 防火墙体系结构 包过滤的一个重要的局限是他不能分辨好的和坏的用户，只能区分好的数据包和坏的数据包。 包过滤规则一般基于部分的或全部的包头信息（例如对于TCP包头信息为：IP协议类型、IP源地址、IP目标地址等。） 4.3.1 防火墙体系结构 2.双宿主网关 双宿主网关仅用一个代理服务器（如图所示），代理服务器就是安装于双宿主机的代理服务器软件。 4.3.1 防火墙体系结构 优点：1.网关将受保护网络与外界完全隔离。2.代理服务器提供日志，有助于发现入侵。3.它本身是主机，可用于诸如身份验证服务器及代理服务器，使其具有多种功能。4.站点系统的名字和IP地址对Internet是隐蔽的。 缺点：1.每项服务必须使用专门设计的代理服务器。 2.如果防火墙只采用双宿主网关一个部件，一旦该部件出问题，将使网络安全受到危害。 4.3.1 防火墙体系结构 3. 主机屏蔽防火墙 主机过滤防火墙由分组过滤路由器和应用网关组成（如下图所示）。 4.3.1 防火墙体系结构 4. 子网过滤防火墙 在主机过滤配置上再加一个路由器，形成一个被称为非军事区的子网（如图所示），这个子网还可能被用于信息服务器和其他要求严格控制的系统，形成三道防火线。 4.3.2 防火墙与Web服务器之间的配置策略 1. Web服务器置于防火墙之内 4.3.2 防火墙与Web服务器之间的配置策略 2. Web服务器置于防火墙之外 4.3.2 防火墙与Web服务器之间的配置策略 3. Web服务器置于防火墙之上 4.3.3 网络安全策略 1．最小特权原则 2．多层防御原则 3．失效保护原则 4．两个可以为安全决策和安全策略采用的基本状态 5．简单化 4.3.4 构筑堡垒主机 1．总的原则 2．构筑堡垒主机的要素： （1）确定使用哪种机器 （2）选择哪一种操作系统 （3）机器的速度需要有多快 （4）选定堡垒主机提供的服务 （5）堡垒主机上部保留用户帐号 4.3.4 构筑堡垒主机 3．构筑堡垒主机的主要步骤： （1）安装操作系统 （2）使用检验表 （3）保护系统日志 （4）废弃不必要的服务 （5）应保留的服务 （6）应废弃哪些服务 （7）删掉不必要的程序 （8）运行安全监测软件 （9）运行堡垒主机 （10）保护机器和备份 4.4 数据包过滤 1．配制数据包过滤路由器 2．数据包过滤规则的约定 3．按地址过滤 4．用源地址过滤的风险 5．按服务过滤 6．对接受和滤掉的数据包做日志记录 4.5 选择和维护防火墙 4.5.1 选择防火墙的原则 支持“除非明确允许，否则就禁止”的设计