第6章 防火墙技术知识 计算机信息安全技术知识课件.ppt

第6章 防火墙技术 -*- 第6章 防火墙技术 6.1 防火墙概述 6.2 防火墙的体系结构 6.3 防火墙技术 6.4 分布式防火墙 6.5 防火墙安全策略 6.6 Win XP防火墙 6.7 防火墙的选购 6.8 个人防火墙程序设计介绍 6.1 防火墙概述 在内部网和Internet之间插入一个系统，即防火墙，用来防止各类黑客的破坏，阻断来自外部网络的威胁和入侵，扮演着防备潜在的恶意活动屏障。 6.1.1 防火墙的概念 防火墙是保障网络安全的一个系统或一组系统，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。 防火墙至少提供两个基本的服务，即： 1．有选择的限制外部网用户对本地网的访问，保护本地网的特定资源。 2．有选择的限制本地网用户对外地网的访问。 安全、管理、速度是防火墙的三大要素。 它可以嵌入到某种硬件产品中，以硬件设备形式出现，即硬件防火墙。它也可以是一种软件产品，即软件防火墙。 6.1.2 防火墙主要功能 防火墙主要功能有： 1．防止易受攻击的服务。 2．控制访问网点。 3．集中安全性管理。 4．对网络存取和访问进行监控审计。 5．检测扫描计算机的企图。 6．防范特洛伊木马。 7．防病毒功能。 8．支持VPN技术。 9．提供网络地址翻译NAT功能 防火墙的主要缺陷有： 1．不能防范内部攻击。 2．不能防范不通过防火墙的连接入侵。 3．不能自动防御所有新的威胁。 从技术上来讲，可以将防火墙分成传统防火墙，分布式防火墙，嵌入式防火墙和智能防火墙等。 1．嵌入式防火墙 嵌入式防火墙就是将防火墙功能嵌入到路由器或交换机中。嵌入式防火墙的主要优点和缺点见教材。 　　2．智能防火墙 　　智能防火墙就是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。 6.2 防火墙的体系结构 ?6.2.1 筛选路由器结构 筛选路由器是防火墙最基本的构件。它一般作用在网络层（IP层），按照一定的安全策略，对进出内部网络的信息进行分析和限制，实现报文过滤功能。该防火墙优点在于速度快等，但安全性能差 6.2.2 双宿主主机结构 双宿主主机结构是用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件，可以转发应用程序，提供服务等。内外网络之间的IP数据流被双宿主主机完全切断。用堡垒机取代路由器执行安全控制功能。 6.2.3 屏蔽主机网关结构 屏蔽主机网关结构中堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。 6.2.4 屏蔽子网结构 屏蔽子网结构，就是在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。 6.3防火墙技术 6.3.1 包过滤技术 包过滤技术是基于IP地址来监视并过滤网络上流入和流出的IP包，它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。 信息过滤规则是以其所收到的数据包头信息为基础，包头信息中包括IP源地址，IP目标端地址、封装协议类型等。当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，起到了保护内部网络的作用。 1.过滤规则 一般包过滤规则如下： （1）过滤规则序号FRNO（Filter rule Number），它决定过滤算法执行时过滤规则排列的顺序。 （2）过滤方式（ Action）包括允许（ Allow）和阻止（ Block）。 （3）源IP地址SIP（Source IP address）。 （4）源端口SP（Source Port）。 （5）目的IP地址DIP （Destination IP addr