防火墙技术精品课件教学教材.ppt

访问控制与防火墙技术;防火墙的概念、原理 ; 防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界通道(Internet)的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。 防火墙是一种必不可少的安全增强点，它将不可信网络同可信任网络隔离开(图8-1)。防火墙筛选两个网络间所有的连接，决定哪些传输应该被允许哪些应该被禁止，这取决于网络制定的某一形式的安全策略。 ;图8-1 防火墙示意图 ; 防火墙是放置在两个网络之间的一些组件，这组组件具有下列性质： (1) 双向通信必须通过防火墙； (2) 防火墙本身不会影响信息的流通； (3) 只允许本身安全策略授权的通信信息通过。; 防火墙是在内部网和外部网之间实施安全防范的系统。可认为它是一种访问控制机制，用于确定哪些内部服务对外开放，以及允许哪些外部服务对内部开放。它可以根据网络传输的类型决定IP包是否可以进出企业网、防止非授权用户访问企业内部、允许使用授权机器的用户远程访问企业内部、管理企业内部人员对Internet的访问。防火墙的组成可用表达式说明如下：; 防火墙＝过滤器＋安全策略(网关) 防火墙通过逐一审查收到的每个数据包，判断它是否有相匹配的过滤规则。即按表格中规则的先后顺序以及每条规则的条件逐项进行比较，直到满足某一条规则的条件，并作出规定的动作(中止或向前转发)，从而来保护网络的安全。; 防火墙主要提供以下四种服务： (1) 服务控制：确定可以访问的网络服务类型。 (2) 方向控制：特定服务的方向流控制。 (3) 用户控制：内部用户、外部用户所需的某种形式的认证机制。 (4) 行为控制：控制如何使用某种特定的服务。;8.1 防火墙技术; 8.1.1 包过滤防火墙 (TCP、IP) 包是网络上信息流动的基本单位，它由数据负载和协议头两个部分组成。包过滤作为最早、最简单的防火墙技术，正是基于协议头的内容进行过滤的。术语“包过滤”通过将每一输入/输出包中发现的信息同访问控制规则相比较来决定阻塞或放行包。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。如果包在这一测试中失败，将在防火墙处被丢弃。包过滤防火墙如图8-2所示。; 图8-2 包过滤防火墙 ; 包过滤路由器与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”守卫快速的察看包的住户地址是否正确，检查卡车的标识(证件)以确保它也是正确的，接着送卡车通过关卡传递包。虽然这种方法比没有关卡更安全，但是它还是比较容易通过并且会使整个内部网络暴露于危险之中。; 应用级代理防火墙模式提供了十分先进的安全控制机制，如图8-3所示。它通过在协议栈的最高层(应用层)检查每一个包从而提供足够的应用级连接信息。因为在应用层中它有足够的能见度，应用级代理防火墙能很容易看见前面提及的每一个连接的细节从而实现各种安全策略。例如这种防火墙很容易识别重要的应用程序命令，像FTP的“put”上传请求和“get”下载请求。;图8-3 应用代理防火墙 ; 应用级代理防火墙也具有内建代理功能的特性——在防火墙处终止客户连接并初始化一条到受保护内部网络的新连接。这一内建代理机制提供额外的安全，这是因为它将内部和外部系统隔离开来，从外面只看到代理服务器，而看不到任何内部资源，而且代理服务器只允许被代理的服务通过。这使得系统外部的黑客要探测防火墙内部系统变得更加困难。; 考虑前面安全守卫的类比，和刚才在输入包中查找地址不同的是，“应用级代理”安全守卫打开每个包并检查其中内容并将发送者的信任书同已明确建立的评价标准相对比。如果每个传输包都通过了这种细致的检查，那么守卫签署传送标记，并在内部送一份可信快递以传递该包到合适的住户，卡车及司机无法进入。这种安全检查不仅更可靠，而且司机看不到内部网络。尽管这些额外的安全机制将花费更多处理时间，但可疑行为绝不会被允许通过“应用级代理”安全守卫。; 代理服务安全性高，可以过滤多种协议，通常认为它是最安全的防火墙技术。其不足主要是不能完全透明地支持各种服务、应用，一种代理只提供一种服务。另外需要消耗大量的CPU资