电子商务安全课件冯晓玲10.ppt

山西大学商务学院 第10章防火墙技术 主 要 内 容 防火墙技术概述 防火墙的类型 防火墙的体系结构 防火墙产品的发展 防火墙的局限性 10.1 防火墙技术概述 防火墙定义：为安全起见，在网络和Internet之间插入一个中介系统，竖起一道安全屏障。他的作用是阻断来自外部网络对本网络的威胁和入侵，提供维护本网络的安全。 防火墙的组成可以是一组硬件设备（路由器、主机）或硬件和软件的组合（逻辑上可以是过滤器、限制器和分析器）。这些组件特性是所有的从内到外和从外到内的数据包都要经过防火墙。 10.1 防火墙技术概述 防火墙的组成部分 数据包过滤器、应用级层服务器。 典型的防火墙如图所示。 防火墙的要求： 双向数据流必须经过它 合法(只有被安全政策允许)的数据才可以通过它 防火墙本身具有预防入侵的功能,并且自身具有较高的抗攻击能力 防火墙的两大目的 保障内部网安全 保证内部网同外部网的连通 防火墙的作用 1 对内部网实现集中的安全管理 2 防止非授权用户进入内部网络 3 监视网络安全并及时报警 4 实现网络地址转换NAT 5 对内部网络划分，实现重点网段的分离 6 审计和记录网络的访问与使用 网络地址转换NAT 原因： 当数据包从防火墙流出时，通过NAT可以隐藏内部网络拓扑和地址表，改变原始发出的数据包的主机地址。 目的： – 解决IP地址空间不足问题 – 向外界隐藏内部网结构 防火墙的基本规则 NO规则：一切未被允许的就是禁止的 YES规则：一切未被禁止的就是允许的 “首先匹配”算法：将最特殊的规则放在规则集的最前面，而不特殊或最一般的规则放在最后面。 数据包的报头结构 使用TCP协议的IP数据包 使用UDP协议的IP数据包 包过滤的技术原理 根据系统设置的过滤规则，在网络的适当位置对数据包实施过滤，只允许符合过滤规则的数据包通过，并被转发到目的地，不满足规则的数据包被丢弃。 包过滤防火墙的规则 输入包的过滤 远程源地址过滤 本地目的地址过滤 远程端口过滤 本地目的端口过滤 输出包的过滤 本地源地址的过滤 远程目的地址的过滤 本地源端口过滤 远程目的端口过滤 数据包过滤原理 数据包过滤用在内部主机和外部主机之间，过滤系统是一种路由器或是一台主机。过滤系统根据过滤原则来决定是否让数据包通过。不符合规定的IP地址的信息包会被防火墙过滤掉，以保证网络系统的安全。这是一种基于网络层的安全技术，对于应用层的黑客行为是无能为力的。 包过滤防火墙如图所示： 包过滤型防火墙 优点：效率高，成本低，易于安装和使用 缺点：过滤规则难配置，缺少用户认证手段 10.2.2 代理服务 代理服务器是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可是一个堡垒主机。 分类：应用级网关和电路级网关 应用级网关 应用级网关或者代理服务器工作在应用层。应用级防火墙检查进出的数据包，通过自身（网关）复制传递数据，防止在受信主机与非受信主机间直接建立联系。应用级防火墙能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核。 其基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内网。 优点是：易于配置，界面友好；不允许内外网主机的直接连接；可以提供比包过滤更详细的日志记录，例如在一个HTTP连接中，包过滤只能记录单个的数据包，无法记录文件名、URL等信息；可以隐藏内部IP地址；可以给单个用户授权；可以为用户提供透明的加密机制；可以与认证、授权等安全手段方便的集成。 缺点是：代理速度比包过滤慢；代理对用户不透明，给用户的使用带来不便，而且这种代理技术需要针对每种协议设置一个不同的代理服务器。 堡垒主机 堡垒主机是一种配置了安全防范措施的网络计算机，堡垒主机为网络之间的通信提供了一个阻塞点，如果没有堡垒主机，网络间将不能相互访问。 10.3 防火墙的体系结构 包过滤:路由 + 过滤 这是最简单的防火墙。 双宿主网关 主机过滤防火墙 子网过滤防火墙 2．双宿主网关 双宿主网关仅用一个代理服务器（如图所示），代理服务器就是安装于双宿主机的代理服务器软件。 用一台装有两块网卡的计算机作为堡垒主机（Bastion host），两块网卡分别与内部网和外部网（或屏蔽路由器）相连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件——代理服务（应用层网关）。在建