u2u[计算机]信息安全概论第三章 防火墙技术简介.docVIP

《信息安全概论》教案第三章 防火墙技术简介 防火墙技术是保护网络不受侵犯的最主要技术之一。当企业内部网络连接到因特网上时，防止非法入侵，确保企业内部网络的安全就是至关重要的事情了。最有效的防范措施之一就是在企业内部网络和外部网络之间设置一个防火墙，实施网络之间的安全访问控制，确保企业内部网络的安全。防火墙是阻止外部网络对内部网络进行访问的任何设备，此设备通常是软件和硬件的组合体，它通常根据一些规则来挑选想要或不想要的地址。 防火墙的基本知识 什么是防火墙 因特网防火墙是这样的（一组）系统，它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往因特网的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免予渗透。 防火墙是一种综合性的技术，涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、国际标准化组织（ISO）的安全规范以及安全操作系统等多方面。作为一种解决网络之间访问控制的有效方法，国际上在这方面的研究很多。 防火墙最基本的构件既不是软件又不是硬件，而是构造防火墙人的思想。最初的防火墙只是一种概念而不是一种产品，是构造者脑海中的一种想法，即谁和什么能被允许访问本网络。构造一个好的防火墙需要直觉、创造和逻辑的共同作用。 1．1 防火墙的基本功能 从总体上看，防火墙应具有以下五大基本功能： 过滤进出网络的数据包； 管理进出网络的访问行为； 封堵某些禁止的访问行为； 记录通过防火墙的信息内容和活动； 对网络攻击进行检测和告警。 1．2 防火墙系统的特性 —个好的防火墙系统应具有以下五方面的特性： 所有在内部网络和外部网络之间传输的数据都必须通过防火墙； 只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙； 防火墙本身不受各种攻击的影响； 使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡等； 人机界面良好，用户配置使用方便，易管理。系统管理员可以方便地对防火墙进行设置，对Internet的访问者、被访问者、访问协议以及访问方式进行控制。 从1991年6月ANS公司的第一个防火墙产品ANS Interlock Service防火墙上市以来，到目前为止，世界上至少有几十家公司和研究所在从事防火墙技术的研究和产品开发。几乎所有的网络厂商也都开始了防火墙产品的开发或者OEM别的防火墙厂商的防火墙产品，如Sun Microsystems公司的Sunscreen，Check Point公司的Firewall-1，Milkyway公司的Black Hole等。 国内也已经开始了这方面的研究，北京邮电大学信息安全中心研制成功了国内首套PC机防火墙系统。此外，还有北京天融信公司的网络防火墙系统——Talentit防火墙、深圳桑达公司的具有包过滤防火墙功能的SED-08路由器、北京大学青鸟的内部网保密网关防火墙、电子部30所的SS-R型安全路由器、东北大学软件中心的具有信息过滤功能的NetEye防火墙、信息产业部数据所的SJW04防火墙及Proxy98等也都先后开发成功。 防火墙的发展 若以产品为对象，防火墙技术的发展可以分为四个阶段： 第一阶段：基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器称为第一代防火墙产品。 第一代防火墙产品的特点是： 利用路由器本身的对分组的解析，以访问控制表方式实现对分组的过滤。 过滤判决的依据可以是地址、端口号、ICMP报文类型等。 只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙的功能的方法，对安全性要求较高的网络则可单独利用一台路由器组成防火墙。 第一代防火墙产品的不足之处在于： 路由协议十分灵活，本身具有安全漏洞，外部网络要探询内部网络十分容易。例如：在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器设置了过滤规则，内部网络的20号端口仍可由外部探寻。 路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性，一般的网络系统管理员难以胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。 路由器防火墙的最大隐患是：攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。 路由器防火墙的本质性缺陷是：由于路由器的主要功能