网络信息安全技术知识(第二版)第11章防火墙技术知识.ppt

第11章 防 火 墙 技 术 ;7.1 防 火 墙 概 念 ; (1) 保证对主机和应用安全访问；  (2) 保证多种客户机和服务器的安全性；  (3) 保护关键部门不受到来自内部和外部的攻击，为通过Internet与远程访问的雇员、客户、供应商提供安全通道。 因此，防火墙是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是保护网络不被可疑人入侵。本质上， 它遵从的是一种允许或组织业余来往的网络通信安全机制，也就是提供可控的过滤网络通信， 或者只允许授权的通信。 ;图 11.1 防火墙配置示意图 ; 防火墙是由IT管理员为保护自己的网络免遭外界非授权访问，但允许与Internet互连而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全网络中的定义来保护其后面的网络。因此，从理论上讲，由软件和硬件组成的防火墙可以做到：  (1) 所有进出网络的通信流都应该通过防火墙；  (2) 所有穿过防火墙的通信流都必须有安全策略和计划的确认及授权；  (3) 防火墙是穿不透的。;图 11.2 基于网络体系结构的防火墙实现原理 ; 根据网络分层结构的实现思想， 若防火墙所采用的通信协议栈越是在高层，所能检测到的通信资源就越多，其安全级别也就越高， 但其执行效率却较差。反之，如果防火墙所采用的通信协议栈越在低层， 所能检测到的通信资源就越少， 其安装级别也就越低， 但其执行效率却较佳。 ; 按照网络的分层体系结构，在不同的分层结构上实现的防火墙不同，所采用的实现方法技术和安全性能也就不尽相同， 通常有：  (1) 基于网络层实现的防火墙， 通常称为包过滤防火墙； (2) 基于传输层实现的防火墙， 通常称为传输级网关；  (3) 基于应用层实现的防火墙， 通常称为应用级网关；  (4) 整合上述所有技术， 形成混合型防火墙， 根据安全性能以进行弹性管理。 ;2. 基于Dual Network Stack防火墙的实现 ; 基于Dual Network Stack的防火墙有效地保护了网络之间的通信和连接管理。从网际的角度看，Intranet被完全隔离而实现了安全保护； 从网络体??结构的角度看，在不同的分层协议栈上也有不同的防火墙实现技术，主要依赖于网络具体的协议结构。当然，对于内部和外部网络而言， 其协议结构有可能是不同的，因而具有更好的适应性和安全性。 ;11.2.2 防火墙的实现方法 1． 数据包过滤 防火墙通常就是一个具备包过滤功能的简单路由器，支持因特网安全。因为包过滤是路由器的固有属性，因而它是一种因特网互联更加安全的简单方法。  包过滤是一种简单而有效的方法。即通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。 ; 包是网络上信息流动的单位。在网上传输的文件一般在发送端被划分成一串数据包，经过网上的中间站点，最终传到目的地， 最后把这些包中的数据又重新组成原来的文件。  每个包有两个部分： 数据部分和包头。 包头中含有源地址和目标地址等信息。  包过滤器又称为过滤路由器，它把包头信息和管理员设定的规则表进行比较，如果有一条规则不允许发送某个包，路由器将会丢弃它。 ;每个数据包都包含有特定信息的一组报头， 其主要信息是：  (1) IP协议类型（TCP、 UDP和ICMP等）；  (2) IP源地址；  (3) IP目标地址；  (4) IP选择域的内容；  (5) TCP或UDP源端口号；  (6) TCP或UDP目标端口号；  (7) ICMP消息类型。 ; 另外，路由器也会得到一些在数据包头部信息中没有的有关数据包的其它信息。如数据包到达的网络接口和数据包出去的网络接口。 过滤路由器与普通路由器的差别主要在于，普通路由器只是简单地查看每一个数据包的目标地址，并且选取数据包发往目标地址的最佳路径。  如何处理数据包上的目标地址，一般有两种情况出现，即路由器知道如何发送数据包到目标地址，则发送数据包；路由器不知道如何发送数据包到目标地址，则返回数据包，并向源地址发送“不能到达目标地址”的消息。 ; 作为过滤路由器，它将更严格地检查数据包，除了决定它是否能发送数据包到其它目标之外，过滤路由器还决定它是否应该发送。“应该”或者“不应该”由站点的安