第8章 防火墙技术-精品·公开课件.pptVIP

第8章　防火墙技术 8.1　防火墙技术概述 8.2　防火墙技术 8.3　防火墙配置和访问控制策略8.4　防火墙的选择8.5　防火墙的应用示例 8.1　防火墙技术概述 8.1.1　什么是防火墙 安全技术上所说的防火墙，是指在两个网络之间加强访问控制的一整套装置，通常是软件和硬件的组合体；或者说，防火墙是用来在一个可信网络（如内部网）与一个不可信网络（如外部网）间起保护作用的一整套装置，在内部网（可信的）和外部网（不可信的，如Internet）之间的界面上构造一个保护层。它强制所有的访问或连接都必须经过这一保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。 防火墙应具有以下五大基本任务。 （1）过滤进出网络的数据包。 （2）管理进出网络的访问行为。 （3）封堵某些禁止的访问行为。 （4）记录通过防火墙的信息内容和活动。 （5）对网络攻击进行检测和告警。 8.1.2　防火墙的功能 网络防火墙的主要功能如下。 （1）控制不安全的服务，保护易受攻击的服务 （2）站点访问控制 （3）集中式的安全保护 （4）强化站点资源的私有属性 （5）网络连接的日志记录及使用统计 （6）其他安全控制 8.1.3　防火墙的局限性 （1）不能防范恶意的知情者 （2）防火墙不能防范不通过它的连接 （3）防火墙不能防备全部的威胁 （4）防火墙不能防范病毒 8.2　防火墙技术 8.2.1　防火墙的分类 实现防火墙的主要技术有：数据包过滤，应用网关和代理服务、电路层网关等。 1．基于路由器的防火墙 第一代防火墙产品的特点如下。 （1）利用路由器本身对包的解析，以访问控制表（AccessList）方式实现对包的过滤。 （2）过滤判断的依据可以是地址、端口号、IP标志及其他网络特征。 （3）只有包过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。 2．用户化的防火墙工具套件 作为第二代防火墙产品，用户化的防火墙工具套件具有以下特征。 （1）将过滤功能从路由器中独立出来，并加上审计和告警功能。 （2）针对用户需求，提供模块化的软件包。 （3）软件可以通过网络发送，用户可以自己动手构造防火墙。 （4）与第一代防火墙相比，安全性提高了，价格降低了。 3．建立在通用操作系统上的防火墙 它们具有如下一些特点。 （1）是批量上市的专用防火墙产品。 （2）包括包过滤或者借用路由器的包过滤功能。 （3）装有专用的代理系统，监控所有协议的数据和指令。 （4）保护用户编程空间和用户可配置内核参数的设置。 （5）安全性和速度大大提高。 4．具有安全操作系统的防火墙 （1）防火墙厂商拥有操作系统的源代码，并可实现安全内核。 （2）对安全内核实现加固处理，即去掉不必要的系统特性，加上安全内核特性，强化安全保护。 （3）对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁。 （4）在功能上包括了包过滤、应用网关、电路级网关，且具有加密鉴别功能。 （5）透明性好，易于使用。 大体可分为以下几类。 1．按产品形态划分 可分为软件防火墙、软硬一体化防火墙和硬件防火墙。 2．按适用范围划分 分为网络防火墙和主机防火墙。其中，网络防火墙又分电信级防火墙、企业级防火墙和SOHO防火墙等。 3．按应用技术划分 4．按网络接口划分 分为千兆防火墙、百兆防火墙和十兆防火墙 8.2.2　防火墙的主要技术形式及实现方式 8.2.2.1　防火墙主要采用的技术 1．包过滤技术 2．代理服务技术 3．多级的过滤技术 4．网络地址转换（NAT）技术 5．Internet网关技术 6．安全服务器网络（SSN） 7．用户鉴别与加密 8．审计和告警 8.2.2.2　技术实现 1．安全内核的实现 2．代理系统的建立 3．包过滤器的设计 4．安全服务器的设计 5．鉴别与加密的考虑 8.2.2.3　防火墙的抗攻击能力 下面从几种主要的攻击方法来评估的抗攻击能力。 1．抗 IP 假冒攻击 2．抗特洛伊木马攻击 3．抗口令字探寻攻击 4．抗网络安全性分析 8.2.2.4　防火墙技术展望 8.2.3　防火墙的常见体系结构 1．双重宿主主机体系结构 2．屏蔽主机体系结构 3．屏蔽子网体系结构 （1）周边网络 （2）堡垒主机 （3）内部路由器 （4）外部路由器 8.3　防火墙配置和访问控制策略 8.3.1　如何解决防火墙效率与安全之间的矛盾 防火墙包含着一对矛盾（或称机制）：一方面它限制数据流通，另一方面它又允许数据流通。 8.3.2　设置防火墙的要素 1．网络策略 建立合理的防护系统，配