网络的攻击与防范-理论与实践 第3篇 网络防御部分 第14章 防火墙的技术原理与应用.pptVIP

第三篇 网络防护篇 第11章 安全扫描技术的原理与应用 第12章 操作系统安全防范 第13章 密码及认证技术 第14章 防火墙的技术原理与应用 第15章 入侵检测技术的原理与应用 第16章 蜜罐与蜜网技术 第17章 数据备份与灾难恢复技术 第18章 网络安全综合防范平台 第14章 防火墙的技术原理与应用 网络防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互连设备。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。 第14章 防火墙的技术原理与应用 14.1防火墙技术概论 14.2 防火墙的分类 14.3 防火墙技术 14.4防火墙的体系结构 14.5 防火墙的产品 14.6 实验：包过滤防火墙实验 14.1 防火墙技术概论 防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。安全、管理、速度是防火墙的三大要素。 14.1 防火墙技术概论 一个好的防火墙系统应具备以下三方面的条件： （1）内部和外部之间的所有网络数据流必须经过防火墙。否则就失去了防火墙的主要意义了。 （2）只有符合安全策略的数据流才能通过防火墙。这也是防火墙的主要功能－－－审计和过滤数据。 （3）防火墙自身应对渗透(penetration)免疫。如果防火墙自身都不安全，就更不可能保护内部网络的安全了。 14.1 防火墙技术概论 14.1.1 防火墙的作用 14.1.2 防火墙的优缺点 14.1.1 防火墙的作用 确保一个单位内的网络与因特网的通信符合该单位的安全方针,为管理人员提供下列问题的答案: 谁在使用网络 他们在网络上做什么 他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功 14.1.1 防火墙的作用 防火墙目的在于实现安全访问控制，因此按照OSI/RM，防火墙可以在OSI/RM七层中的五层设置。一般的防火墙模型如下图所示： 14.1.1 防火墙的作用 一般来说，防火墙由四大要素组成： 安全策略是一个防火墙能否充分发挥其作用的关键。哪些数据不能通过防火墙、哪些数据可以通过防火墙；防火墙应该如何具备部署；应该采取哪些方式来处理紧急的安全事件；以及如何进行审计和取证的工作。等等这些都属于安全策略的范畴。防火墙绝不仅仅是软件和硬件，而且包括安全策略，以及执行这些策略的管理员。 内部网：需要受保护的网。 外部网：需要防范的外部网络。 技术手段：具体的实施技术。 14.1.1 防火墙的作用 一个防火墙从功能上通常由以下几部分组成，如下图所示： 14.1.1 防火墙的作用 对于防火墙的设置，有两大需求，也就是防火墙必须保证的两个要点。 保证内部网的安全。 防火墙的基本作用就是对内外网的数据进行过滤和审核，以防止未经授权的访问进出计算机网络。 保证内部网和外部网的连通。 在对内外网数据进行“缓冲”、保证内网的安全性的同时，防火墙不应对出入数据的速度造成太大的影响。 14.1.2 防火墙的优缺点 在内部网和外部网之间设置防火墙可以提高被保护网络的安全性。主要有以下几方面的优点： 保护网络中脆弱的服务：防火墙通过过滤存在安全缺陷的网络服务来降低内部网遭受攻击的威胁，因为只有经过选择的网络服务才能通过防火墙； 作为网络控制的“要塞点”（Choke point）：防火墙是网络的要塞点，是达到网络安全目的的有效手段； 14.1.2 防火墙的优缺点 集中安全性：如果一个内部网络的所有或大部分需要改动的程序以及附加的安全程序都能集中地放在防火墙系统中，而不是分散到每个主机中，这样防火墙的保护范围就相对集中，安全成本也相对便宜了； 增强保密性、强化私有权：使用防火墙系统，网络节点可以防止finger 以及DNS域名服务。防火墙也能封锁这类服务，从而使得外部网络主机无法获取这些有利于攻击的信息。通过封锁这些信息，可以防止攻击者从中获得另一些有用信息； 14.1.2 防火墙的优缺点 审计和告警：作为内外网络间通信的唯一通道，防火墙可以有效地记录各次访问的情况，记录内部网络和外部网络之间发生的一切； 防火墙可以限制内部网络的暴露程度：防火墙的存在限制了可能产生的网络安全问题，并保护了内部网络的结构不被外部网络攻击者发现，提高了内部网络的安全性； 安全政策执行：防火墙是实施