现代网络技术(第二版)第12章网络安全与防火墙技术.ppt

　　防火墙类似于建筑物中的防火墙，它防止外部网络(主要指Internet)上的危险黑客入侵内部网络(如图12-3所示)。在具体实现过程中，防火墙就是一个或一组网络设备(计算机或路由器等)，可用来在两个或多个网络间加强相互间的访问控制。因此，在内联网设立防火墙的主要目的是保护网络系统不受来自外界网络的攻击。实质上，要保护的是自己管理的内部网络，而要防备的则是一个外部的网络。 图12-3 防火墙示意图 　　对网络系统的保护要做到：拒绝未授权的用户访问，但同时又要保证合法用户不受妨碍地访问网络资源。 　　不同的防火墙侧重点不同。从某种意义上来说，防火墙实际上代表了一个网络的访问原则。如果某个网络决定配置防火墙，那么首先需要由网络决策人员及网络专家共同决定网络的安全策略，即确定哪些类型的信息可被允许通过防火墙，哪些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的允许通过，不符合的被拒绝。 　　从广义上说，防火墙是一个用于Intranet与Internet之间的隔离系统或系统组(包括硬件和软件)，它在两个网络之间实施相应的访问控制策略。它置于两个网络之间，并且具有如下特性： 　　● 所有内部对外部的通信都必须通过防火墙，反之亦然。 　　● 只有按安全策略所定义的授权，通信才允许通过。 　　● 防火墙本身是抗入侵的。 　　● 防火墙可以记录内外网络通信时所发生的一切。 　　总之，防火墙是整个网络的要塞点，是达到网络安全目的的有效手段，它的存在限制了可能产生的网络安全问题，以免给整个网络带来灾难。 12.4.2 防火墙功能 　　为了保证网络安全性要求，防火墙必须具有以下功能： 　　(1) 支持一定的安全策略。 　　(2) 提供一定的访问和接入控制机制。 　　(3) 容易扩充、更改新的服务和安全策略。 　　(4) 具有代理服务功能，包含先进的鉴别技术。 　　(5) 采用过滤技术，根据需求来允许或拒绝某些服务。 　　(6) 防火墙的编程语言应较灵活，具有友好的编程界面，并用具有较多的过滤属性，包括源和目的IP地址、协议类型、源和目的TCP/UDP端口以及进入和输出的接口地址。 　　(7) 具有缓冲存储的功能，以获得高效快速访问。 　　(8) 应能接纳对本地网的公共访问，本地网的公共信息服务由防火墙所保护，并能进行增删和扩充。 　　(9) 具有对拨号访问内部网的集中处理和过滤能力。 　　(10) 具有记录和审计的功能，包括可以登记通信的业务和记录可疑活动的方法，便于检查和审计。 　　(11) 防火墙设备上所使用的操作系统和开发工具都应该具备一定等级的安全性。 　　(12) 防火墙应该是可检验和可管理的。 防火墙系统由一组硬件和软件构成，它的基本实现技术包括包过滤技术和代理服务技术。 12.4.3 包过滤技术 　　包过滤技术是防火墙的一种最基本的实现技术，具有包过滤技术的装置用来控制内外网络间数据流的流入和流出(如图 12-4所示)。在包过滤技术中对数据包的处理目前绝大部分基于TCP/IP协议平台，其中包括网络层的IP数据包、传输层的TCP和UDP数据包以及应用层的FTP、Telnet和HTTP等应用协议数据三部分内容。 图12-4 包过滤技术 　　包过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙： 　　(1) 包的目的地址及目的端口。 　　(2) 包的源地址及源端口。 　　(3) 包的传送协议。 　　包过滤技术一般不能识别数据包中的文件信息和用户信息。由于包过滤规则的设计原则是有利于内部网连向外部网络，所以在包过滤装置两侧所执行的过滤规则是不同的，即包过滤是不对称的。 　　当前，几乎所有的包过滤装置(包括屏蔽路由器或包过滤网关)均按图12-5所示的方式操作。 图12-5 包过滤操作流程 　　(1) 对于包过滤装置的有关端口必须设置包过滤规则。 　　(2) 当一个包到达过滤端口时，将该包的头部进行分析。大多数包过滤装置只检查IP、TCP或UDP头部内的字段。 　　(3) 包过滤规则按一定的顺序存储。当一个包到达时，应用于该包的顺序与包过滤规则顺序相适应。 　　(4) 如果有一条规则阻塞该包传输或接收，则不允许该包通过。 　　(5) 如果有一条规则允许包传输或接收，则允许该包通过。 　　(6) 如果一个包不满足(4)、(5)中任何一条规则，则该包可能被阻塞，也可能通过。根据原则1，即“未被明确允许的就将被禁止”原则，要阻塞该包；或者与之相对的原则2，即“没有被明确禁止的就是被允许的”，则该包能通过。 　　包过滤装置对数据包实施有选择的通过，在装置内设置过滤逻辑(或访问控制表)。通过检查数据流中的每个数据包，根据数据包的源地址、目的地址、所用的TCP与UDP端