《计算机信息安全技术》第8章 教学课件.pptVIP

第8章 防火墙技术 本章：5 学时 理论讲授4学时，上机实验1学时 第8章 防火墙技术 熟练掌握：防火墙的概念、功能及其分类；4种防火墙体系结构的构成及其优缺点；包过滤技术的原理及包过滤规则；代理服务技术的工作原理 。 掌握：堡垒主机的概念；DMZ的概念和作用；防火墙技术的分类和各自的优缺点。 了解：防火墙技术发展史；防火墙的局限性；静态包过滤技术的工作过程；状态检测技术的工作过程；应用层网关技术的工作过程；电路层网关技术的工作过程；自适应代理技术的工作原理；如何选择防火墙。 第8章 防火墙技术 8.1 防火墙概述 8.2 防火墙体系结构 8.3 防火墙技术 8.4 防火墙的选购 本章小结 实训13-4 个人防火墙IP规则配置 8.1 防火墙概述 防火墙的概念 防火墙的主要功能 防火墙的分类 防火墙的局限性 8.1 防火墙概述 8.1 防火墙概述 防火墙是一种隔离控制技术。它是位于两个信任程度不同的网络之间的能够提供网络安全保障的软件或硬件设备的组合，它对两个网络之间的通讯进行控制，按照统一的安全策略，阻止外部网络对内部网络重要数据的访问和非法存取，以达到保护系统安全的目的。 8.1 防火墙概述 8.1.1 防火墙技术发展简史 1) 第一代防火墙 1983年第一代防火墙出现，采用了包过滤（Packet Filter）技术，称为简单包过滤（静态包过滤）防火墙。 2) 第二代防火墙 1991年，贝尔实验室提出了第二代防火墙——代理防火墙（应用型防火墙）的初步结构。 3) 第三代防火墙 1992年，USC信息科学院开发出了基于动态包过滤（Dynamic Packet Filter）技术的防火墙，后来演变为目前所说的状态检测（Stateful Inspection）防火墙。 4) 第四代防火墙 1998年，美国的网络联盟公司NAI（Network Associates Inc）推出了一种自适应代理（Adaptive Proxy）技术。 8.1 防火墙概述 8.1.2 防火墙的主要功能 1.过滤进出网络的数据信息 2.管理进出网络的访问行为 3.集中安全保护 4.对网络存取和访问进行监控审计 5.实施NAT技术的理想平台 8.1 防火墙概述 8.1.3 防火墙的分类 1.按照防火墙软、硬件形式分 ： （1）软件防火墙；（2）硬件防火墙； （3）芯片级防火墙。 2.按照防火墙采用的技术分 ： （1）包过滤防火墙 ；（2）代理防火墙。 3.按照防火墙放置的位置分 ： （1）边界防火墙；（2）个人防火墙； （3） 混合防火墙。 8.1 防火墙概述 8.1.4 防火墙的局限性 （1）防火墙不能防范不经过防火墙的攻击。 （2）防火墙不能防范网络内部的攻击。 （3）防火墙不能防范内部人员的泄密行为。 （4）防火墙不能防范因配置不当或错误配置引起的安全威胁。 （5）防火墙不能防范利用网络协议的缺陷进行的攻击。 （6）防火墙不能防范利用服务器系统的漏洞进行的攻击。 （7）防火墙不能防范感染病毒文件的传输。 （8）防火墙不能防范本身安全漏洞的威胁。 （9）防火墙不能防范人为或自然的破坏。 8.2 防火墙体系结构 堡垒主机和DMZ 屏蔽路由器结构 双宿主主机结构 屏蔽主机结构 屏蔽子网结构 8.2 防火墙体系结构 8.2.1 堡垒主机和DMZ 1.堡垒主机 “堡垒”一词来源于中世纪的欧洲，指城堡中特别加固的部分，用于发现和抵御攻击者的进攻。这里所说的堡垒主机是一种被强化的可以防御进攻的主机。堡垒主机上安装有防火墙、安全代理软件，但没有IP转发功能。它一般也可以为内、外部网络提供一些必要的服务。堡垒主机基本上都被放置在网络的周边或非军事区，作为进入内部网络的一个检查点，从而到把整个网络的安全问题都集中在堡垒主机上解决。 堡垒主机有3种类型： （1）单宿主堡垒主机；（2） 双宿主堡垒主机（3） 受害堡垒主机 。 8.2 防火墙体系结构 （2）DMZ DMZ（Demilitarized Zone，非军事区或隔离区）指为不信任系统服务的孤立网段。DMZ的产生来源于按照不同功能或者部门将网络分割成多个网段的这一重要网络设计思想。根据各个网段不同的安全需求实施不同的保护策略。把内部网络中需要向外提供服务的服务器集中放置到一个单独的网段，与内部网络隔离开，这个网段就是DMZ。 DMZ通常是一个过滤