[院校资料]ch4 防火墙技术.ppt

第4章 防火墙技术 内容提要： 概述 防火墙体系结构 防火墙技术 防火墙的安全防护技术 防火墙应用示例 个人防火墙 防火墙技术发展动态和趋势 小结 4.1 概述 防火墙的定义 防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。 防火墙的五大基本功能 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击的检测和告警。 防火墙的局限性 网络的安全性通常是以网络服务的开放性和灵活性为代价 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失 4.2防火墙的体系结构 目前，防火墙的体系结构一般有以下几种： （1）双重宿主主机体系结构； （2）屏蔽主机体系结构； （3）屏蔽子网体系结构。 4.2.1 双重宿主主机体系结构 围绕具有双重宿主的主机计算机而构筑； 计算机至少有两个网络接口； 计算机充当与这些接口相连的网络之间的路由器； 防火墙内部的系统能与双重宿主主机通信； 防火墙外部的系统（在因特网上）能与双重宿主主机通信。 双重宿主主机体系结构 4.2.2 屏蔽主机体系结构 提供安全保护的堡垒主机仅仅与被保护的内部网络相连； 是外部网络上的主机连接内部网络的桥梁； 堡垒主机需要拥有高等级的安全； 还使用一个单独的过滤路由器来提供主要安全； 路由器中有数据包过滤策略。 屏蔽主机体系结构 堡垒主机 在防火墙体系结构中，经常提到堡垒主机，堡垒主机得名于古代战争中用于防守的坚固堡垒。它位于内部网络的最外层，像堡垒一样对内部网络进行保护。在防火墙体系结构中，堡垒主机要高度暴露，是在Internet上公开的，是网络上最容易遭受非法入侵的设备。所以防火墙设计者和管理人员需要致力于堡垒主机的安全，而且在运行期间对堡垒主机的安全要给予特别的注意。 构建堡垒主机应注意以下几点： （1）选择合适的操作系统。它需要可靠性好、支持性好、可配置性好。 （2）堡垒主机的安装位置。堡垒主机应该安装在不传输保密信息的网络上，最好它处于一个独立网络中，如 DMZ（非军事区）。 （3）堡垒主机提供的服务。堡垒主机需要提供内部网络访问Internet的服务，内部主机可以通过堡垒主机访问Internet，同时内部网络也需要向Internet提供服务。 （4）保护系统日志。作为一个安全性举足轻重的诸暨，堡垒主机必须有完善的日志系统，而且必须对系统日志进行保护。 （5）进行监测和备份。 4.2.3 屏蔽子网体系结构 1、周边网络（DMZ）、 为了配置和管理方便，通常将内部网中需要向外部提供服务的服务器设置在单独的网段，这个网段被称为周边网络（DeMilitarized Zone，DMZ）。DMZ是防火墙的重要概念，在实际应用中经常用到。DMZ是周边网络，位于内部网之外，使用与内部网不同的网络号连接到防火墙，并对外提供公共服务。DMZ隔离内外网络，并为内外网之间的通信起到缓冲作用。 2．内部路由器 保护内部的网络使之免受外部网和周边网的侵犯，内部路由器完成防火墙的大部分数据包过滤工作。? 3．外部路由器 保护周边网和内部网使之免受来自外部网络的侵犯，通常只执行非常少的数据包过滤。 外部路由器一般由外界提供。 4.2.4 防火墙体系结构的组合形式 使用多堡垒主机； 合并内部路由器与外部路由器； 合并堡垒主机与外部路由器； 合并堡垒主机与内部路由器； 使用多台内部路由器； 使用多台外部路由器； 使用多个周边网络； 使用双重宿主主机与屏蔽子网。 4.3 防火墙技术 从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。这两种类型防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术、NAT技术等。 4.3.1 包过滤技术 包过滤防火墙工作在网络层 利用访问控制列表（ACL）对数据包进行过滤 过滤依据是TCP/IP数据包： 源地址和目的地址 所用端口号 协议状态 优点是逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好 缺点有二，一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 包过滤模型 数据包过滤的主要依据有： （1）数据包的源地址； （2）数据包的目的地址； （3）数据包的协议类型（TCP、UDP、ICMP等）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型； 大多数包过滤