第6章 防火墙技术-精品·公开课件.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 当防火墙接收到初始化TCP连接的SYN包时，要对这个带有SYN的数据包进行安全规则检查。将该数据包在安全规则里依次比较，如果在检查了所有的规则后，该数据包都没有被接受，那么拒绝该次连接。如果该数据包被接受，那么本次会话的连接信息被添加到状态监测表里。该表位于防火墙的状态检测模块中。对于随后的数据包，就将包信息和该状态监测表中所记录的连接内容进行比较，如果会话是在状态表内，而且该数据包状态正确，该数据包被接受；如果不是会话的一部分，该数据包被丢弃。这种方式提高了系统的性能。 防火墙作为连接双方的“旁观者”，就可以判断出连接双方目前处于何种状态。一旦发现所发送包和状态不符，就可认为是状态异常的包进行拒绝，而不必再对IP地址或TCP端口进行检查；防火墙对于一个新TCP连接的判断是从SYN包开始的，一旦发现这些包不属于任何已经建立的连接，就可将其作为状态异常包而丢弃。 随着新的网络技术的出现，防火墙技术呈现以下新的发展。 （1） 目前防火墙在安全性、效率和功能方面的矛盾还是比较突出。防火墙的技术结构，往往是安全性高效率就低，效率高就会以牺牲安全为代价。未来的防火墙要求是高安全性和高效率。使用专门的芯片负责访问控制功能、设计新的防火墙的技术架构是未来防火墙的方向。 （2） 数据加密技术的使用，使合法访问更安全。 6.7 防火墙的发展趋势 （3） 混合使用包过滤技术、代理服务技术和其他一些新技术。 （4） 目前，人们正在设计新的IP协议IPv6（也被称为IP version 6）。IP协议的变化将对防火墙的建立与运行产生深刻的影响。 （5） 分布式防火墙。现在的防火墙一般安放在网络的边界，并假设内部网络中的所有主机是可信任的。但是攻击往往是从内部发起的，所以不是所有的内部主机都是可以信任的。分布式防火墙是指那些驻留在网络中主机如服务器或台式机并对主机系统自身提供安全防护的软件产品。 从广义来讲，分布式防火墙是一种新的防火墙体系结构，它包含如下产品。 ① 网络防火墙： 即传统的边界防火墙，用于内部网与外部网之间进行访问控制。包括内部网中各个子网之间的防火墙，这种防火墙需支持内部网可能有的非IP协议。 ② 主机防火墙：对网络中的服务器和台式机进行防护，需要给每一台需要保护的主机安装防火墙，这些主机的物理位置可能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机。 ③ 中心管理：边界防火墙只是网络中的单一设备，管理是单一的。对分布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上，但总体安全策略又是统一策划和管理的，安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。 （6） 对数据包的全方位的检查。不仅包括数据包头的信息，而且包括数据包的内容信息，查出恶意行为，阻止通过。 防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是安全和可信赖的，而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。 防火墙的主要技术有包过滤技术、代理服务器技术、应用网关技术、状态检测包过滤技术，现在最常用的是状态检测包过滤技术。 本章小结 防火墙的体系结构有双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构，它们都有各自的优缺点。 堡垒主机位于内部网络的最外层，像堡垒一样对内部网络进行保护。在防火墙体系中，堡垒主机要高度暴露，是在Internet上公开的，是网络上最容易遭受非法入侵的设备。所以防火墙设计者和管理人员需要致力于堡垒主机的安全，而且在运行期间对堡垒主机的安全给予特别的注意。堡垒主机应该安装在不传输保密信息的网络上，最好处于一个独立网络，比如DMZ。 包过滤式的防火墙会检查所有通过的数据包头部的信息，并按照管理员所给定的过滤规则进行过滤。如果对防火墙设定某一内部IP地址不能访问某个站点的话，从这个地址来的到某个站点的信息都会被防火墙屏蔽掉。在配置数据包过滤规则之前，需要明确要允许或者拒绝什么服务，并且需要把策略转换成为针对数据包的过滤规则。通过制定数据包过滤规则来控制哪些数据包能够进入或者流出内部网络。 状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息（如TCP/UDP协议的端口、ICMP协议的ID号）、连接状态(如TCP连接状态)和超时时间等，防火墙把这些信息叫做状态。通过状态检测，可