[工学]计算机网络安全第8章防火墙.ppt

第8章 防火墙 8.1 防火墙的原理 8.2 防火墙技术 8.3 防火墙体系结构 8.4 堡垒主机 8.5 数据包过滤 8.6 状态检测的数据包过滤 8.7 防火墙的发展趋势 8.8 本章小结 习题 8.1 防火墙的原理 8.1.1 防火墙的概念 防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是安全和可信赖的，而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。防火墙在网络中的位置如图8.1所示。 图8.1 防火墙在网络中的位置 防火墙通常是运行在一台或者多台计算机之上的一组特别的服务软件，用于对网络进行防护和通信控制。但是在很多情况下防火墙以专门的硬件形式出现，这种硬件也被称为防火墙，它是安装了防火墙软件，并针对安全防护进行了专门设计的网络设备，本质上还是软件在进行控制。 如果没有防火墙，则整个内部网络的安全性完全依赖于每个主机，因此，所有的主机都必须共同达到一致的高度安全水平。也就是说，网络的安全水平是由最低的那个安全水平的主机决定的，这就是所谓的“木桶原理”，木桶能装多少水由最低的地方决定。网络越大，对主机进行管理使它们达到统一的安全级别水平就越不容易。 防火墙隔离了内部网络和外部网络，它被设计为只运行专用的访问控制软件的设备，而没有其他的服务，因此也就意味着相对少一些缺陷和安全漏洞。此外，防火墙也改进了登录和监测功能，从而可以进行专用的管理。如果采用了防火墙，内部网络中的主机将不再直接暴露给来自Internet的攻击。因此，对整个内部网络的主机的安全管理就变成了防火墙的安全管理，这样就使安全管理变得更为方便，易于控制，也会使内部网络更加安全。 防火墙一般安放在被保护网络的边界，必须做到以下几点，才能使防火墙起到安全防护的作用： （1） 所有进出被保护网络的通信必须通过防火墙。 （2） 所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权。 （3） 防火墙本身是不可被侵入的。 总之，防火墙是在被保护网络和非信任网络之间进行访问控制的一个或者一组访问控制部件。防火墙是一种逻辑隔离部件，而不是物理隔离部件，它所遵循的原则是，在保证网络畅通的情况下，尽可能地保证内部网络的安全。防火墙是在已经制定好的安全策略下进行访问控制，所以一般情况下它是一种静态安全部件，但随防火墙技术的发展，防火墙或通过与IDS（入侵检测系统）进行联动，或自身集成IDS功能，将能够根据实际的情况进行动态的策略调整。 8.1.2 防火墙的功能 防火墙具有如下几个功能： （1） 访问控制功能。这是防火墙最基本也是最重要的功能，通过禁止或允许特定用户访问特定的资源，保护网络的内部资源和数据。需要禁止非授权的访问，防火墙需要识别哪个用户可以访问何种资源。 （2） 内容控制功能。根据数据内容进行控制，比如防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部用户访问外部服务的图片信息，也可以限制外部访问，使它们只能访问本地Web服务器中的一部分信息。简单的数据包过滤路由器不能实现这样的功能，但是代理服务器和先进的数据包过滤技术可以做到。 （3） 全面的日志功能。防火墙的日志功能很重要。防火墙需要完整地记录网络访问情况，包括内外网进出的访问，需要记录访问是什么时候进行了什么操作，以检查网络访问情况。就如银行的录像监视系统，记录下整体的营业情况，一旦有什么事发生，就可以看录像，查明事实。防火墙的日志系统也有类似的作用，一旦网络发生了入侵或者遭到破坏，就可以对日志进行审计和查询。日志需要有全面的记录和方便的查询。 （4） 集中管理功能。防火墙是一个安全设备，针对不同的网络情况和安全需要，需要制定不同的安全策略，然后在防火墙上实施，使用中还需要根据情况改变安全策略，而且在一个安全体系中，防火墙可能不止一台，所以防火墙应该是易于集中管理的，这样管理员就可以很方便地实施安全策略。 （5） 自身的安全和可用性。防火墙要保证自身的安全，不被非法侵入，保证正常的工作。如果防火墙被侵入，防火墙的安全策略被修改，这样内部网络就变得不安全。防火墙也要保证可用性，否则网络就会中断，网络连接就失去意义。 另外防火墙还有如下附加的功能： （1） 流量控制，针对不同的用户限制不同的流量,可以合理使用带宽资源。 （2） NAT（Network Address Translation，网络地址转换），是通过修改数据包的源地址（端口）或者目的地址（端口），来达到节省IP地址资源，隐藏内部IP地址的功能的一种技术。 （3） VPN（Virtual Private Network，虚拟专用网），指利用数据封装和加密技术，使本来只能在私有网络上传送