第4章　防火墙技术.ppt

第四章　防火墙技术 4.1　防火墙概述 4.2 防火墙TCP/IP基础 4.3 防火墙的体系结构 4.4　防火墙技术 4.5　常用防火墙介绍 本章学习目标 （1）什么是防火墙，防火墙有什么基本功能 （2）防火墙中管理的TCP/IP基础 （3）防火墙的体系结构 （4）防火墙安全策略的设计与实施 （5）了解主要防火墙的基本功能和其技术的发展方向 4.1　防火墙概述 4.1.1　防火墙的定义 4.1.2　防火墙的基本功能 4.1.4　防火墙的不足 4.1.1　防火墙的定义 防火墙是一种保护计算机网络安全的技术型措施，它可以是软件，也可以是硬件，或两者结合。它在两个网络之间执行访问控制策略系统，目的是保护网络不被他人侵扰。通常，防火墙位于内部网或不安全的网络（Internet）之间，它就像一道门槛，通过对内部网和外部网之间的数据流量进行分析、检测、筛选和过滤，控制进出两个方向的通信，以达到保护网络的目的。 4.1.2　防火墙的基本功能 （1）防火墙可以强化网络安全策略 （2）防火墙可以对网络进行监控 （3）防火墙可以通过NAT方便地部署内部网络的IP地址 （4）集中的安全管理 （5）隔离内外网络，防止内部信息的外泄 4.1.3　防火墙的局限性 （1）防火墙不能防护所有的网络安全问题。 （2）防火墙难以防范网络病毒 （3）防火墙降低了网络的可用性 （4）防火墙无法防范通过防火墙以外的其他途径的攻击。 （5）防火墙自身的可靠性问题，容易成为网络瓶颈 4.2　防火墙管理的TCP/IP基础 4.2.1　TCP/IP网络中的数据传输 4.2.2　TCP/IP协议模型 4.2.3　IP协议相关知识 4.2.1　 TCP/IP网络中的数据传输 TCP/IP的目的是为在计算机间进行数据传输提供方法，它为应用程序提供了把数据发送到网络上的方法，同时也为网络提供了把数据发给其他计算机或主机上应用程序的方法。应用TCP/IP进行数据传送使用的是“数据包”，“数据包”也被称为“帧”，这两种叫法可以交换使用。 通过防火墙的数据传输 4.2.2　TCP/IP协议模型 TCP是一种面向连接的协议，它是目前的Internet网络中最主要的传输协议。它是一个四层协议，其结构如下所示。 4.2.3　 IP协议相关知识 （1）IP地址的结构 （2）子网掩码与地址划分 （3）ICMP协议 4.3　防火墙的体系结构 1．多宿主主机防火墙 2．屏蔽主机型防火墙 3．屏蔽子网型防火墙 4．堡垒主机 堡垒主机是一种被强化的可以防御进攻的计算机，是高度暴露于Internet上的，也是网络中最容易受到侵害的主机。 4.4　防火墙的技术 1．包过滤防火墙 2．代理防火墙 3．两种防火墙技术的对比 4.4.1．包过滤防火墙 包过滤技术是在网络中的适当位置对数据包实施有选择通过的技术。包过滤型防火墙又叫筛选路由器或筛选过滤器，它一般作用在网络层，故也称网络层防火墙或IP过滤器。 包过滤规则示例 （2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。 （3）包过滤的缺点：维护比较困难，不能彻底防止地址欺骗；随着过滤器数目的增加，路由器的吞吐量会下降等。 4.4.2．代理技术 代理技术也称为应用层网关技术，它是在应用层实现防火墙的功能，它是针对每一个特定应用进行检验。代理的主要特点是有状态性，它能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。代理技术一般有两种：应用级代理技术和电路级网关代理技术。 （1）应用层网关型防火墙： 是在应用层上建立协议过滤和转发功能，和它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。 （2）电路层网关防火墙 电路级网关的运行方式与应用级网关很相似，但是它有一个典型的特征，就是更多的是面向非交互式的应用程序。在用户通过了最初的身份验证之后，电路级网关就允许用户穿过网关来访问服务了。在此过程中，电路级网关只是简单地中转用户和目的服务器之间的连接而已，它只是依赖于TCP连接，并不进行任何附加的包处理和过滤。 4.4.3状态包检查技术 使用状态包检查的防火墙的运行方式是：它对每一个通过防火墙的数据包都要进行检查，看这些数据包是否属于一个已经通过防火墙并且正在进行连接的会话，或者基于一组与包过滤规则相似的规则集对数据包进行处理。SPI与包过滤的区别就在于对数据包的检查方式上。 SPI的工作过程