防火墙技术与VPN.docVIP

第五章 防火墙技术和VPN（1-2课时） 一、教学对象：02(秋)、03（春、秋）计算机专业 二、教学目标： 1、了解防火墙的定义、功能和局限性。 2、了解防火墙的分类、基本技术、常见体系结构。 3、掌握防火墙的访问控制策略和防火墙的配置。 3、了解防火墙的性能指标、选择原则和主要的防火墙产品。 4、了解防火墙技术的发展趋势。 三、重点和难点 （1）重点： 理解防火墙的定义。 了解防火墙的分类、常见体系结构。 掌握防火墙的访问控制策略和防火墙的配置。 （2）难点： 了解防火墙的分类、基本技术、常见体系结构。 掌握防火墙的访问控制策略和防火墙的配置。 了解防火墙的性能指标、选择原则和主要的防火墙产品。 四、教学内容 第一节 防火墙技术概述 一、什么是防火墙 防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上说，它遵从的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 防火墙是不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流。 任何一个好的防火墙必须具备以下三个特性： 所有在内部网络和外部网络之间传输的数据必须通过防火墙； 只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。 防火墙本身不受各种攻击的影响。 在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙的逻辑结构图如下所示： 从物理上讲，防火墙通常是一组硬件设备（路由器、主机）和软件的多种组合。 二、防火墙的功能 1、控制不安全的服务，保护易受攻击的服务。 防火墙可以控制不安全的服务，只有授权的协议和服务才能通过防火墙。防火墙能防止易受攻击的服务，如NFS进出子网，这使得子网免于受来自外界的基于该服务的攻击。防火墙还能阻止基于路由的攻击策略，防火墙会拒绝这种攻击试探。 2、站点访问控制 防火墙可以提供对指定站点的访问控制，比如有些主机允许被外部网络访问，而有些则要被保护起来，防止不必要、也不安全的访问。 3、集中式的安全保护 使用防火墙，可以将所有需要修改的软件和附件的安全软件都放在防火墙上，而不使用防火墙就必须将所有软件分散到各个主机上。使用防火墙，保护相对集中、经济。 4、防止内部信息外漏 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。它作用在应用层，其特点是完全 阻隔 了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 代理服务器有应用层代理防火墙和电路层代理防火墙两种。 优点： 内外网络不直接接触，这种防火墙的安全性好。 可以灵活地控制进出的流量和内容。 可以生成各种类型的记录，方便审计和进行日志分析。 代理易于配置。 缺点： 代理速度较路由器慢；代理对用户不透明；对于每项服务代理可能要求不同的服务器屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。故它要能以多种安全的应用服务器（包括FTP、Finger、Mail、Ident、News、WWW等）来实现网关功能。采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机又称堡垒主机用两个网络适配器分别连接两个网络堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。屏蔽主机网关易于实现，安全性好