[理学]第4章 防火墙体系结构20100305.pptVIP

第4章 防火墙的体系结构  授课人： 张冲杰高级工程师 本章教学重点和难点 4.1 防火墙的体系结构 4.1.1 双重宿主主机体系结构 4.1.2 被屏蔽主机体系结构 4.1.3 被屏蔽子网体系结构 4.1.1 双重宿主主机体系结构 双重宿主主机至少有两个网络接口，一接内部网络，另一接连接外部网络，（寄生于内外两个网络之中）。 外部网络与内部网络不能直接通信，必须经过双重宿主主机的过滤和控制，如右图所示。 4.1.2 被屏蔽主机体系结构 使用路由器隔离开内外网络，如下图所示。 安全由数据包过滤提供。涉及到堡垒主机。 4.1.3 被屏蔽子网体系结构 最简单的形式为两个屏蔽路由器，都连接到周边网。 一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。 4.2 包过滤器 包过滤又称“报文过滤”，它是防火墙最传统、最基本的过滤技术。 包过滤器的工作是检查每个包的头部中的有关字段。网络管理员可以配置包过滤器，指定要检测哪些字段以及如何处理等。 4.2.1 包过滤技术分类 1. 静态包过滤（Static packet filter） 2. 动态包过滤 Dynamic packet filter 4.2.2 过滤器的工作原理 4.2.3 包过滤的基本过程 4.2.3 包过滤的基本过程 续 4.2.4 包过滤防火墙的规则库 2.包过滤的过滤策略 3.包过滤防火墙的过滤规则 3.包过滤防火墙的过滤规则 3.包过滤防火墙的过滤规则 1.包过滤器的优点 ● 对于一个小型的、不太复杂的站点，包过滤比较容易实现。 ● 因为工作在传输层（TCP或UDP）或者在网络层（ICMP或IP），所以处理包的速度比代理服务器快。 ● 价格便宜。 ● ● 对流量的管理比较出色。 ● 需要管理的开销很少，对屏蔽设备的性能不会产生很大影响。 没有用户身份认证机制。 在复杂环境中规则表会很大而且复杂，难管理，漏洞也会增加。 依赖一个单一的部件来保护系统。 如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。 只能阻止外部主机伪装内部主机的IP，不能阻止外部主机伪装外部主机的IP欺骗却。 应用级网关就是通常所说的“代理服务器”。 它能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。 应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。 但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器； 由代理服务器根据这一请求向服务器请求数据； 再由代理服务器将返回的数据转给客户机。 应用级网关的安全性高，其不足是要为每种应用提供专门的代理服务程序。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难。在实际使用中经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。 应用级网关访问速度比较慢，因为它不允许用户直接访问网络，而且需要对每一个特定的Internet服务安装相应的代理服务软件。 4.4 电路级网关 4.4.1 电路级网关的工作过程 4.4.2 电路级网关的缺点 ? 4.5 全状态包检测（SPI） 4.5.1 SPI防火墙的工作过程 4.5.2 SPI的优缺点 4.6 防火墙的实施方式 4.6.2 基于路由器的防火墙 特点 4.6.1 基于网络主机的防火墙 特点 4.6.3 基于单个主机的防火墙 4.6.4 硬件防火墙 常见的硬件防火墙 常见的硬件防火墙 续 4.6.1 基于网络主机的防火墙 2类 防火墙是一个在操作系统之上运行的应用程序。例如Windows 网络版都支持4种技术：包过滤、应用级网关、电路级网关、状态包检查。 不是在现有操作系统之上进行的，而是整合成操作系统的一部分，例如在UNIX中，将防火墙应用程序整合到操作系统中。安全性更高。 ● 利用路由器本身对分组的解析，以访问控制表ACL方式实现对分组的过滤。 ● 过滤判断的依据是地址、端口号、IP旗标及其它网络特征。 ● 只有分组过滤的功能，且防火墙与路由器一体。 ● 利用路由器本身对分组的解析，以访问控制表ACL方式实现对分组的过滤。 ● 过滤判断的依据是地址、端口号、IP旗标及其它网络特征。 ● 只有分组过滤的功能，且防火墙与路由器一体。 缺点：● 路由协议灵活，存在安全漏洞。例如，由于使用FTP协议，即使有过滤规则，内网的20号端口仍可以被外部探寻。 ● 攻击者可以伪造假的路由信息欺骗防火墙。 ● 路由器的特性是为网络访问提供动态灵活的路由，而防火墙则要对访问实施静态固定的控制，难以调和。 通常