第9章节 防火墙技术.ppt

主要内容 防火墙基础 防火墙结构 防火墙核心技术 防火墙的典型应用 防火墙技术的发展 防火墙的发展 一、防火墙概述 防火墙基础知识 防火墙分类 防火墙性能 一、防火墙概述 一、防火墙概述 一、防火墙概述 防火墙概念 一、防火墙概述 一、防火墙概述 防火墙实现层次 一、防火墙概述 防火墙的基本功能模块 一、防火墙概述 一、防火墙概述 防火墙的局限性 一、防火墙概述 防火墙的作用 Internet防火墙的作用 Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。 一、防火墙概述 Internet防火墙可以作为部署NAT (Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。 一、防火墙概述 防火墙的作用: 内容过滤 阻止 Java，ActiveX，JavaScript，VBscript URL 记录和拦截 SMTP 过滤 丢弃假来源地址的信件 可设定传送信件的大小 可消除内部信件传递路径信息,避免内部主机暴露给外界 提供E-mail地址转换功能 一、防火墙概述 防火墙的评价 防火墙不可以防范什么? 防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务。 防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。 一、防火墙概述 一、防火墙概述 2.防火墙分类 防火墙的存在形式：软件、硬件。 根据防范方式和侧重点的不同可分为四类： 包过滤 应用层代理 电路层代理 状态检查 一、防火墙概述 一、防火墙概述 二、防火墙结构 防火墙的设计结构 筛选路由器 双重宿主主机结构 屏蔽主机体系结构 屏蔽子网体系结构 二、防火墙结构 1.防火墙的设计结构 软件防火墙设计结构 二、防火墙结构 二、防火墙结构 2.筛选路由器（包过滤防火墙） 二、防火墙结构 包过滤防火墙的工作过程 首先检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。 其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 缺点： 配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。 为特定服务开放的端口存在着危险，可能会被用于其他传输。 可能还有其他方法绕过防火墙进入网络，例如拨入连接。 二、防火墙结构 优点： 防火墙对每条传入和传出网络的包实行低水平控制。 每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。 防火墙可以识别和丢弃带欺骗性源IP地址的包。 包过滤防火墙是两个网络之间访问的唯一来源。 包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。 二、防火墙结构 二、防火墙结构 二、防火墙结构 二、防火墙结构 4.屏蔽主机体系结构 二、防火墙结构 二、防火墙结构 二、防火墙结构 5.屏蔽子网体系结构 二、防火墙结构 二、防火墙结构 二、防火墙结构 三 、防火墙核心技术 简单包过滤防火墙 应用代理防火墙 状态检测包过滤防火墙 包过滤与应用代理复合型防火墙 核检测防火墙 三 、防火墙技术 包过滤防火墙（1） 三 、防火墙技术 简单包过滤