[高等教育]信息安全ch4 防火墙技术.pptVIP

第4章 防火墙技术 内容提要： 防火墙概述 防火墙的体系结构 数据包过滤防火墙 代理防火墙 防火墙应用举例 防火墙脆弱性及其防护对策 防火墙技术发展动态和趋势 4.1 概述 防火墙的定义 防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。 防火墙的发展简史 第一代防火墙——采用了包过滤（Packet filter）技术。 第二代防火墙——电路层防火墙 第三代防火墙——应用层防火墙（代理防火墙）的初步结构 第四代防火墙——1992年，基于动态包过滤（Dynamic packet filter）技术 第五代防火墙——自适应代理（Adaptive proxy）技术 防火墙的五大基本功能 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击的检测和告警。 4.2 防火墙体系结构 防火墙可以在OSI七层中的五层设置。 ????????????????????????????????????????????????????????????????????????????? ???????????????? 防火墙组成结构图 防火墙的体系结构 目前，防火墙的体系结构一般有以下几种： （1）双重宿主主机体系结构； （2）屏蔽主机体系结构； （3）屏蔽子网体系结构。 4.2.1 双重宿主主机体系结构 围绕具有双重宿主的主机计算机而构筑； 计算机至少有两个网络接口； 计算机充当与这些接口相连的网络之间的路由器； 防火墙内部的系统能与双重宿主主机通信； 防火墙外部的系统（在因特网上）能与双重宿主主机通信。 双重宿主主机体系结构 4.2.2 屏蔽主机体系结构 提供安全保护的堡垒主机仅仅与被保护的内部网络相连； 是外部网络上的主机连接内部网络的桥梁； 堡垒主机需要拥有高等级的安全； 还使用一个单独的过滤路由器来提供主要安全； 路由器中有数据包过滤策略。 屏蔽主机体系结构 4.2.3 屏蔽子网体系结构 1．周边网络 周边网络是另一个安全层,是在外部网络与被保护的内部网络之间的附加网络,提供一个附加的保护层防止内部信息流的暴露 . 2．堡垒主机 堡垒主机为内部网络服务的功能有： （1）接收外来的电子邮件（SMTP），再分发给相应的站点； （2）接收外来的FTP连接，再转接到内部网的匿名FTP服务器； （3）接收外来的对有关内部网站点的域名服务（DNS）查询。 堡垒主机向外的服务功能按以下方法实施： （1）在路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 （2）设置代理服务器在堡垒主机上运行，允许内部网的用户间接地访问外部网的服务器。也可以设置数据包过滤，允许内部网的用户与堡垒主机上的代理服务器进行交互，但是禁止内部网的用户直接与外部网进行通信。 3．内部路由器 保护内部的网络使之免受外部网和周边网的侵犯，内部路由器完成防火墙的大部分数据包过滤工作。 ? 4．外部路由器 保护周边网和内部网使之免受来自外部网络的侵犯，通常只执行非常少的数据包过滤。 外部路由器一般由外界提供。 4.2.4 防火墙体系结构的组合形式 （1）使用多堡垒主机； （2）合并内部路由器与外部路由器； （3）合并堡垒主机与外部路由器； （4）合并堡垒主机与内部路由器； （5）使用多台内部路由器； （6）使用多台外部路由器； （7）使用多个周边网络； （8）使用双重宿主主机与屏蔽子网。 4.3 包过滤防火墙 包过滤防火墙工作在网络层 利用访问控制列表（ACL）对数据包进行过滤 过滤依据是TCP/IP数据包： 源地址和目的地址 源端口和目的端口 优点是效率比较高，对用户透明 缺点是难于配置、监控和管理,无法有效地区分同一IP地址的不同用户 数据包过滤的主要依据有： （1）数据包的源地址； （2）数据包的目的地址； （3）数据包的协议类型（TCP、UDP、ICMP等）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型； 包过滤系统能进行以下情况的操作： （1）不让任何用户从外部网用Telnet登录； （2）允许任何用户使用SMTP往内部网发电子邮件； （3）只允许某台机器通过NNTP往内部网发新闻。 不能进行以下情况的操作： （1）允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。 （2）允许用户传送一些文件而不允许用户传送其他文件。 包过滤器操作 （1）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。 （2）当