第4章防火墙-精品·公开课件.ppt

电子商务安全与电子支付 王红玲 第4章防火墙  学习目标 掌握防火墙的工作原理 掌握典型防火墙的配置 4.1防火墙技术4.1.1防火墙技术及访问控制技术 所谓防火墙，就是在内部网(如Intranet)和外部网(如Internet)之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器，用来在两个或多个网络间加强访问控制、实施相应的访问控制策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。 现状 1995年防火墙产品刚面市，销售量不到1万套 1996年增长到10万套 营业额由1995年的1.6亿美元上升到20亿美元 2007年企业防火墙市场规模53亿元，2009年72亿，预计2014年170亿 防火墙是不是万能的？ 防火墙不能对付的安全威胁 不能防范来自内部恶意的知情者的攻击 不能防范不通过它的连接 不能防范病毒 不能防范全部的威胁 根据防火墙在网络上的物理位置和在OSI(Open System Interconnect Reference Model，开放式系统互联参考模型)七层协议中的逻辑位置以及所具备的功能，可作如下的分类： （1）电路级网关 它工作在传输层，它在两个主机首次建立TCP连接时创立一个电子屏障。它监视两主机建立连接时的握手信息，如SYN、ACK等标志和序列号等是否合乎逻辑，判定该会话请求是否合法。一旦会话连接有效后网关仅复制、传递数据，而不进行过滤。 电路层网关在网络的传输层上实施访问策略，是在内、外网络主机之间建立一个虚拟电路，进行通信，相当于在防火墙上直接开了个口子进行传输，不像应用层防火墙那样能严密地控制应用层的信息。 电路级网关还提供一个重要的安全功能：代理服务器。代理服务器是个防火墙，在其上运行一个叫做地址转换NAT的进程，来将所有你公司内部的IP地址映射到一个安全的网关IP地址，这个地址是由防火墙使用的。最终，在设有电路级网关的网络中，所有输出的数据包好像是直接由网关产生的，这样就避免了直接在“受信任网络”与“不受信任网络”间建立连接。 （2）包过滤路由器 这是一个检查所通过数据包合法性的路由器，它对外部用户传入局域网的数据包加以限定。通常根据网络协议、按照特定规则，用IP地址和端口号来进行限制处理。该路由器允许那些符合协议和规则的IP地址的某些端口号通过路由器，而对其他IP地址的端口号加以限制。由于包过滤是在七层协议的下三层实现的，数据包的类型也可以进行拦截、检验和登录，所以它比其他类型的防火墙更易于实现。 （3）应用网关。此类防火墙的物理位置与前述的包过滤路由器一样，但它的逻辑位置是在OSI七层协议的应用层上。它主要采取应用协议代理服务的工作方式实施安全策略。 （4）屏蔽主机防火墙。此类防火墙的应用网关只需要单个网络端口，并以物理方式连接在包过滤路由器的网络总线上。但是其工作的逻辑位置仍然是在应用层，所有的通信业务都要通过它的代理服务。信息服务器可被看做是所有网络对外开展信息发布工作的数据中心，它被“挂”在主网之外，又处于包过滤路由器和应用网关的安全保护之内，因而具备了较强的隐蔽性和安全防护能力。 除了上述的基于技术层面的分类，根据对防火墙技术的综合分析，还可以将其分为包过滤型防火墙(Packet Filter)和代理服务器型防火墙(Proxy Service)两大类型，以及最近几年来将上述两种类型的防火墙加以结合而形成的新产物——复合型防火墙(Hybrid)。 包过滤型防火墙（Packet Filter） 包过滤防火墙是最简单的防火墙，一般在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。其工作原理如图2-1所示。包过滤防火墙的安全性是基于对包的IP地址的校验。包过滤防火墙将所有通过的数据包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤数据包。那些不符合规定的IP地址的数据包会被防火墙过滤掉，以保证网络系统的安全。 图 4?1包过滤防火墙的工作原理 包过滤型防火墙通常被安装在路由器上，而且许多常用的商业路由器缺省配置了包过滤型防火墙。此外，若使用PC机作为路由器，同样可以安装包过滤型防火墙；并且，在PC平台上的防火墙将具有更为强大的功能。包过滤型防火墙一般都具有日志功能，这就具备了更为可靠的安全性。不同种类的包过滤型防火墙使用起来非常方便，只需根据自己的网络访问原则稍加修改，就可以获得符合特定网络要求的包过滤型防火墙。 包过滤防