防火墙-e会学.PPTVIP

7.1.2 防火墙的发展 1986年美国Digital公司在Internet上安装了全球第一台商用防火墙系统后，提出了防火墙的概念。防火墙技术从此开始了飞速的发展。目前已有国内外众多厂商推出了防火墙产品。 第一代防火墙，又称包过滤防火墙，主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过，对其进行转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。 第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。 第三代防火墙有效地提高了防火墙的安全性，称为状态检测防火墙，它可以对每一层数据包的状态信息进行检测和监控。 随着网络攻击手段和信息安全技术的发展，新一代的功能更强、安全性更强的防火墙已经问世，这个阶段的防火墙已超出了原来传统意义上防火墙的范畴，已经演变成一个全方位的安全技术集成系统，我们称之为第四代防火墙。它可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet虫、密码探寻攻击、邮件攻击等等。 访问控制功能是防火墙设备最基本的功能，其作用就是对经过防火墙的所有通信进行连通或阻断的安全控制，以实现连接到防火墙上的各个网段的边界安全性。为实施访问控制，可以根据据网络地址、网络协议以及TCP、UDP端口进行过滤；可以实施简单的内容过滤，如电子邮件附件的文件类型等；可以将IP与MAC地址绑定以防止盗用IP的现象发生；可以对上网时间段进行控制，不同时段执行不同的安全策略；可以对VPN通信的安全控制；可以有效的对用户进行带宽流量控制。 防火墙的访问控制采用两种基本策略：即“黑名单”策略和“白名单”策略。“黑名单”策略指除了规则禁止的访问，其他都是允许的。“白名单”策略指除了规则允许的访问，其他都是禁止的。 7.2.2 防火墙的防止外部攻击 防火墙的内置黑客入侵检测与防范机制可以通过检查TCP连接中的数据包的序号来保护网络免受数据包注入、SYN Flooding Attack(同步洪泛)、DoS(拒绝服务)和端口扫描等等黑客攻击。针对黑客攻击手段的不断变化，防火墙软件也能像杀毒软件一样动态升级，以适应新的变化。 7.2.3 防火墙的地址转换 防火墙拥有灵活的地址转换NAT(Network Address Transfer)能力。同时支持正向、反向地址转换。正向地址转换用于使用保留IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换，能有效地隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，使用保留IP地址就可以正常访问公众网，有效地解决了全局IP地址不足的问题。 内部网用户对公众网提供访问服务(如Web、E-mail 服务等)的服务器如果保留IP地址，或者想隐藏服务器的真实IP地址，都可以使用反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP地址的服务器提供服务，同样既可以解决全局IP地址不足的问题，又能有效地隐藏内部服务器信息，对服务器进行保护。 7.2.4 防火墙的日志与报警 防火墙具有实时在线监视内外网络间TCP连接的各种状态以及UDP协议包能力，用户可以随时掌握网络中发生的各种情况。 7.2.5 防火墙的身份认证 防火墙支持基于用户身份的网络访问控制，不仅具有内置的用户管理及认证接口，同时也支持用户进行外部身份认证。防火墙可以根据用户认证的情况动态地调整安全策略，实现用户对网络的授权访问。 7.3.1 防火墙的包过滤技术 包过滤(Packet Filter)通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。 包过滤防火墙除了判断是否有到达目的网段的路由之外，还要根据一组包过滤规则决定是否将包转发出去。如图7.1所示。 1．工作机制 包过滤技术可以允许或禁止某些包在网络上传递，它依据的是以下的判断规则。 (1) 对包的目的地址作出判断。 (2) 对包的源地址作出判断。 (3) 对包的传送协议(端口号)作出判断。 2．性能特点 1) 优点 (1) 因为包过滤防火墙工作在IP和TCP层，所以处理包的速度要比代理服务型防火墙快。 (2) 提供透明的服务，用户不用改变客户端程序。 2) 缺点 (1) 因为只涉及到TCP层，所以与代理服务型防火墙相比，它提供的安全级别很低。 (2) 不支持用户认证，包中只有来自哪台机器的信息却不包含来自哪个用户的信息。 (3) 不提供日志功能。 7.3.2 防火墙的应用代理技术 代理服务(Proxy Service)系统一般安装并运行在双