第5篇 网络防火墙技术.ppt

LOGO 第5章网络防火墙技术  本章内容 ◇ 防火墙的概念、类型、目的与作用； ◇ 基于防火墙的安全网络结构； ◇ 网络防火墙的结构。 △ 配置与管理防火墙系统的技能； △ ISA Server防火墙的使用方法； △ 硬件防火墙的配置技能。 5.1 案例问题 案例说明： 近年来随着网络应用的深入，应用领域从传统的、小型的业务系统逐渐向大型、关键业务系统扩展。 大部分子系统已接入网络，行业系统数据、监测监控系统数据等都在该网络上传输。 随着网络规模的不断扩大、接入点的增多、内部网络中存在的安全隐患问题就更加突出，安全日益成为影响网络效能的重要问题。 2. 需求分析 集团员工、远程办公人员、设备供应商、临时职员以及商业合作伙伴要求能够自由访问集团网络，而重要的客户数据与财务记录往往也存储在这些网络上。 使用普通的安全软件来抵挡日益猖獗的攻击已经显得力不从心，选择防火墙是防范网络攻击的关键。 防火墙作为网络实施安全保护的核心，网络管理员可以制定安全策略来有选择性地拒绝进出网络的数据流量。 3. 解决方案 5.1.2 思考与讨论 阅读案例并思考以下问题 ⑴ 据你分析，兵器集团网络可能遇到的攻击主要来自何处？ ⑵ 兵器集团的网管员应该如何制定网络安全策略呢? ⑶ 根据我们使用Windows防火墙或天网防火墙的经历，你认为防火墙会有哪些作用？ 5.1.2 思考与讨论 专题讨论 ⑴ 你能为网络防火墙做个定义吗？ ⑵ “有了防火墙，内部网络应该是安全的，而来自外部的访问则是可疑的”的说法正确吗？ 5.2 技术视角 5.2.1 防火墙技术概述 5.2.2 防火墙技术的分类 5.2.1 防火墙技术概述 1. 网络防火墙的任务 ⑴ 执行安全策略 ⑵ 创建一个阻塞点 ⑶ 记录网络活动 ⑷ 限制网络暴露 网络防火墙可以限定内网用户访问外网特殊站点，接纳外网对本地公共信息的访问；可以允许内网的一部分主机被外网访问，而另一部分被保护起来，防止不必要访问。 5.2.1 防火墙技术概述 2. 网络防火墙的技术特征 ⑴ 网络防火墙中，安全策略是其灵魂和基础。通常采用的安全策略有两个基本准则。 ① 一切未被允许的访问就是禁止的。 ② 一切未被禁止的访问就是允许的。 ⑵ 网络防火墙能够抵抗网络黑客的攻击，并可对网络通信进行监控和审计。 5.2.1 防火墙技术概述 2. 网络防火墙的技术特征 ⑶ 网络防火墙一旦失效、重启动或崩溃，则应完全阻断内网和外网的连接，以免闯入者进入。 ⑷ 网络防火墙提供强制认证服务，外网对内网的访问应该经过防火墙的认证检查，包括对网络用户和数据源的认证。 ⑸ 网络防火墙对内网应起到屏蔽作用，并且隐蔽内网的地址和内网的拓扑结构。 5.2.1 防火墙技术概述 3. 防火墙技术的现状及发展趋势 第一代防火墙，提出了防火墙的概念。 第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法有效地防止对内网的攻击，安全性较高。 第三代防火墙，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。 第四代的功能更强大、安全性更强，可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等。 5.2.1 防火墙技术概述 4. 网络防火墙的术语 ⑴ 网关，电路级网关、应用级网关 ⑵ 包过滤 ⑶ 代理服务器 ⑷ 网络地址转换 ⑸ 堡垒主机 ⑹ 筛选路由器 ⑺ 阻塞路由器 ⑻ 非军事化区域(DMZ) 5.2.2 防火墙技术的分类 1. 包过滤防火墙技术 包过滤防火墙中的包过滤器一般安装在路由器上，工作在网络层。它基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息过滤。 5.2.2 防火墙技术的分类 2. IP级包过滤型防火墙 IP级过滤型防火墙可看做是一个多端口的交换设备，它对每一个报文根据其报头进行过滤，按一组预定义的规则来判断报文是否可以继续转发，不考虑报文之间的前后关系。 过滤规则定义在转发控制表中，报文遵循自上向下的次序依次运用每一条规则，直到遇到与其相匹配的规则为止。 对报文采取的操作有转发、丢弃、报错和备忘等。 根据不同的实现方式，报文过滤可以在进入防火墙时进行，也可以在离开防火墙时进行。 5.2.2 防火墙技术的分类 3. 代理防火墙技术 代理服务器型防火墙通过在主机上运行的服务程序，直接面对特定的应用层服务，因此也称为应用型防火墙。 对每种不同的应用(E-mail、FTP、Telnet、WWW