[工学]g第七周 防火墙技术第8章.ppt

华南理工大学电子商务学院本科课程－－电子商务安全与保密 大纲第7章 防火墙技术 防火墙（Firewall） 防火墙技术 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许 、拒绝 、 监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。 基本工作原理是在可信任网络的边界上 建立起网络控制系统 隔离内部和外部网络 执行访问控制策略 防止外部的未授权节点访问内部网络和非法向外传递内部信息 同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。 可信任的网络和不可信任的网络,即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的 防火墙相关概念 主机：与网络系统相连的计算机系统。 堡垒主机：是指一个计算机系统，它对外部网络（互联网络）暴露，同时又是内部网络用户的主要连接点，所以非常容易被侵入，因此这个系统需要严加保护。 双宿主主机：具有至少两个网络接口的通用计算机系统。 包：在互联网络上进行通信时的基本信息单位。 防火墙相关概念 路由：为转发的包分组选择正确的接口和下一个路径片段的过程。 包过滤：设备对进出网络的数据流进行有选择的控制与操作。参数网络：为了增加一层安全控制，而在外部网络与内部网络之间增加的一个网络。参数网络有时也被称为停火带。 代理服务器：代表内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求送达外部服务器，同时将外部服务器的响应再回送给用户。 防火墙功能 从总体上看，防火墙应具有以下五大基本功能： 过滤进、出网络的数据； 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击的检测和告警。 防火墙的局限性 不能防范不经过它的连接 是网络安全体系结构设计的问题 当使用端到端加密时，其作用会受到很大限制。 与局限性1是相同的 过于依赖于拓扑结构 防火墙不能防范病毒 病毒防火墙只是一个概念，实际上，仍然要在单机上完成病毒检测工作 是一种静态防御技术 防火墙的分类 按网络体系结构分类 工作在OSI参考模型中的不同位置（教材312图12.2） 最常见： 网络层：包过滤防火墙 应用层：代理服务器 按应用技术分类 包过滤防火墙：按照规则和策略对IP包进行过滤 代理服务器： 电路级网关 按拓扑结构分类 双宿主主机防火墙； 屏蔽主机防火墙； 屏蔽子网防火墙。 防火墙技术内容 防火墙技术可根据防范的方式和侧重点的不同而分为很 多种类型，但总体来讲可分为三大类： 分组过滤（Packet filtering）： 作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。 应用代理（Application Proxy）： 也叫应用网关（Application Gateway）,它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 电路中继(Circuit Relay)： 也叫电路网关(Circuit Gateway)或TCP代理（TCP －Proxy）,其工作原理与应用代理类似，不同之处是该代理程序是专门为传输层的TCP协议编制的。 防火墙技术内容－分组过滤 包过滤防火墙 工作在网络层（IP 层） 根据过滤规则和安全策略，逐个检查 IP 包（TCP包、UDP包），确定是否允许通过 优点 对应用透明，合法建立的连接不被中断。 速度快、效率高。 安全性级别低：不能识别高层信息、容易受到欺骗 配置简单，但要求有一定专业知识 例子： 只允许telnet的出站规则 类比：天网个人防火墙、金山网镖的包过滤规则 天网个人防火墙中的IP规则及规则的设置界面（后页1、2） 规则 一般包含以下各项： 源地址、源端口 、目的地址、目的端口、协议类型、协议标志、服务类型、动作。 规则原则 按地址过滤； 按服务过滤。 防火墙的规则动作有以下几种类型： 通过（accept） 允许IP包通过防火墙传输。 放弃（deny） 不允许IP包通过防火墙传输，但仅仅丢弃，不做任何响应。 拒绝（reject） 不允许IP包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。 返回（return） 没有发现匹配的规则，省缺动作。 天网防火墙举例 防火墙技术内容－应用代理 代理服务器型防火