[计算机硬件及网络]第九章防火墙.pptVIP

1 第九章 防火墙 内容提要 了解防火墙基础知识， 掌握防火墙模型与安全策略、 重点掌握防火墙的主要组成部分、防火墙的缺陷、防火墙的结构、双重宿主主机的概念及服务方式、 掌握堡垒主机基础知识、基本原则， 会配置和保护堡垒主机，会进行堡垒主机的维护。 2018-3-1 Copyright©电子科技大学计算机学院 2 防火墙技术 2018-3-1 Copyright©电子科技大学计算机学院 3 2005年，防火墙再度成为市场表现最为出色的网络安全产品，其市场增长率在三类主要安全产品中居于首位，占市场份额为43.4%。 IDS和防火墙、防病毒列在一起称为安全三大件或“老三样”， 2018-3-1 Copyright©电子科技大学计算机学院 4 防火墙的概念，功能，发展，分类 2018-3-1 Copyright©电子科技大学计算机学院 5 什么是防火墙？ 防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示。 2018-3-1 Copyright©电子科技大学计算机学院 6 防火墙的定义 在网络中，防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。 2018-3-1 Copyright©电子科技大学计算机学院 7 本质上，防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。 其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在大门的安全卫士，控制并检查站点的访问者。 2018-3-1 Copyright©电子科技大学计算机学院 8 从逻辑上讲，防火墙是分离器、限制器和分析器。 从物理角度看，防火墙物理实现的方式有多种。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。 2018-3-1 Copyright©电子科技大学计算机学院 9 防火墙的发展史 第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。 第二代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即——应用层防火墙（代理防火墙）。 　 2018-3-1 Copyright©电子科技大学计算机学院 10 第三代防火墙 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第三代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 第四代防火墙 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第四代防火墙。 2018-3-1 Copyright©电子科技大学计算机学院 11 防火墙适用的环境 由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。 2018-3-1 Copyright©电子科技大学计算机学院 12 防火墙的功能 根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下基本功能。 可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户； 防止入侵者接近网络防御设施； 限制内部用户访问特殊站点。 2018-3-1 Copyright©电子科技大学计算机学院 13 防火墙应该满足的条件 所有进出网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上说，防火墙是穿不透的。 2018-3-1 Copyright©电子科技大学计算机学院 14 防火墙的局限性 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止内部人员将敏感数据拷贝到软盘上。 防火墙也不能防范没有防范心理的管理员授予其些入侵者临时的网络访问权限。 防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 2018-3-1 Copyright©电子科技大学计算机学院 15 防火墙的分类 从采用的技术上分，常见的防火墙有三种类型： 分组（包）过滤防火墙； 代理（应用代理）防火墙； 状态检测防火