网络安全技术知识第5章防火墙技术知识.ppt

;　　　　　5.1 防?火?墙?概?述　　防火墙是在内部网和外部网之间、专用网与公共网之间建立起的安全保护屏障，从而保护内部网免受外部网非法用户的侵入。防火墙可以是纯硬件的，也可以是纯软件的，还可以是软、硬件结合的。防火墙允许用户“同意”的人和数据进入自己的网络，同时将未经认可的访问者和数据拒之门外，最大限度地阻止网络中的黑客入侵行为，防止自己的信息被更改、拷贝和毁坏。防火墙技术在网络中的应用如图5.1所示。;;5.1.1 防火墙的作用与局限性　　防火墙通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是好用但不安全，即对用户使用服务限制少导致对某些安全服务威胁的漏报；第二种是安全但不好用，即能够最大程度地保护系统安全但限制了多数的服务使用户感觉不便。通常采用第二种类型的设计策略，而多数防火墙是在两种之间采取折衷。;　　1. 防火墙的作用　　防火墙的作用主要包括以下几个方面。　　1) 防火墙是网络安全的屏障 　　防火墙是信息进出网络的必经之路。它可以检测所有经过数据的细节，并根据事先定义好的策略允许或禁止这些数据通过。由于只有经过精心选择的应用协议才能通过防火墙，外部的攻击者不可能利用脆弱的协议来攻击内部网络，所以网络环境变得更加安全。;　　4) 防止内部信息外泄 　　利用防火墙对内部网络的划分，可实现内部网络重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响。防火墙可以隐蔽那些透露内部细节服务，如Finger、DNS等，使攻击者不能得到内部网络的有关信息。 ;　　2. 防火墙的局限性　　防火墙技术虽然是内部网络最重要的安全技术之一，可使内部网在很大程度上免受攻击，但不能认为配置了防火墙之后所有的网络安全问题都迎刃而解了。防火墙也有其明显的局限性，许多危险是防火墙无能为力的。;　　1) 防火墙不能防范内部人员的攻击　　防火墙只能提供周边防护，并不能控制内部用户对内部网络滥用授权的访问。内部用户可窃取数据、破坏硬件和软件，并可巧妙地修改程序而不接近防火墙。内部用户攻击网络正是网络安全最大的威胁。　　2) 防火墙不能防范绕过它的连接　　防火墙可有效地检查经由它进行传输的信息，但不能防止绕过它传输的信息。比如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙就没有办法阻止攻击者进行的拨号入侵。;　　3) 防火墙不能防御全部威胁　　防火墙能够防御已知的威胁。如果是一个很好的防火墙设计方案，可以防御新的威胁，但没有一个防火墙能够防御所有的威胁。　　4) 防火墙难于管理和配置，容易造成安全漏洞　　防火墙的管理及配置相当复杂，要想成功维护防火墙，就要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深入的了解。防火墙的安全策略无法进行集中管理，一般来说，由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成的防火墙，是难于管理的。;　　5) 防火墙不能防御恶意程序和病毒　　虽然许多防火墙能扫描所有通过的信息，以决定是否允许它们通过防火墙进入内部网络，但扫描是针对源、目标地址和端口号的，而不扫描数据的确切内容。因为在网络上传输二进制文件的编码方式很多，并且有太多的不同结构的病毒，因此防火墙不可能查找出所有的病毒，也就不能有效地防范病毒类程序的入侵。目前已经有一些防火墙厂商将病毒检测模块集成到防火墙系统中，并通过一些技术手段解决由此而产生的效率和性能问题。;5.1.2 防火墙的类型 　　目前市场上的防火墙产品非常多，形式多样。有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。防火墙主要分类如下：;　　1．从软、硬件形式上分类　　以防火墙的软、硬件形式来分，防火墙可以分为软件防火墙和硬件防火墙两类。　　(1) 软件防火墙运行于特定的计算机上，它需要客户预先安装的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关，俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要在计算机上进行安装和设置才可以使用。网络版软件防火墙最出名的莫过于Check-point。使用这类防火墙，需要网管对相应的操作系统平台比较熟悉。;　　(2) 硬件防火墙一般分传统硬件防火墙和芯片级防火墙两类，它们最大的差别在于是否基于专用的硬件平台。传统硬件防火墙是在PC架构计算机上运行一些经过裁剪和简化的操作系统构成的，最常用的有老版本的Unix、Linux和FreeBSD系统。由于此类防火墙依然采用非自己的内核，因此会受到操作系统本身的安全性影响。芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高，如NetScreen、Cisco的硬件防火墙产品基于专用