第九讲 防火墙.pptVIP

第九讲 防火墙 防火墙概述 防火墙体系结构 包过滤技术 代理服务技术 9.1 防火墙概述 9.2 防火墙体系结构 9.3 包过滤技术 9.4 代理服务技术 * * 1. 防火墙的基本概念 防火墙是一种用来加强网络之间访问控制的网络特殊设备，通常由一组硬件设备和相关软件组成。其功能是要求所有进出网络的通信流都应该通过防火墙，所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 防火墙在网络中的位置下图所示： 防火墙服务于如下两个目的： 限制访问者从一个特别的控制点进入，防止侵入者接近内部设备； 限定访问者从一个特别的点离开，有效的保护内部资源。 Intranet 防火墙 防火墙的优点： 过滤不安全的服务来降低子网上系统所冒的风险； 控制对网络系统的访问； 集中安全性，设置统一的策略管理； 增强的保密、强化私有权，如封锁域名服务信息等； 访问记录和统计； 提供实施和执行网络访问政策的工具。 防火墙的缺点： 不能防范内部攻击； 不能防范不通过它的连接； 不能防备全部的威胁； 不能防范病毒； 不能防止数据驱动式攻击。 建造防火墙时，通常是多种解决不同问题的技术的组合。这取决于向用户提供的服务、经费要求以及对风险控制的要求。 2. 网络政策 有两级政策会直接影响防火墙系统的设计、安装和使用。高级政策是网络访问政策，它用来定义那些受限制的网络许可或明确拒绝的服务，以及例外条件；低级政策是描述防火墙实际上如何尽力限制访问，并过滤在高层政策所定义的服务。 访问政策：访问政策应该是整个机构有关保护机构信息资源政策的延伸，是机构总体安全策略的一部分。例如：规定不允许外网访问内网，但允许内网访问外网的访问政策等。 设计政策：防火墙设计政策用来实施服务访问政策的规则，阐述了一个机构对安全的看法。通常有两种不同的防火墙设计政策： 拒绝除明确许可以外的任何一种服务。也即是拒绝一切未予特许的东西。这种访问政策比较保守； 允许除明确拒绝以外的任何一种服务。也即允许一切未被特别拒绝的东西。这种访问政策比较灵活。 防火墙的体系结构一般有以下几种：? 双重宿主主机体系结构；?被屏蔽主机体系结构；? 被屏蔽子网体系结构。 1. 双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个分别连接内网和外网的网络接口。双重宿主主机位于内、外网之间，如下图所示。内外网之间的IP通信被完全阻止，故不能直接互相通信，只能通过宿主主机（堡垒主机）转发。 Intranet 堡垒主机 2. 屏蔽主机体系结构 屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。如下图所示。在这种结构中，主要的安全由数据包过滤提供。数据包过滤也允许堡垒主机开放可允许的连接到外部网络，路由器中数据包过滤配置可按下列之一执行： 允许其他的内部主机为了某些服务与Internet上的主机连接； 不允许来自内部主机的所有连接。 堡垒主机 Web服务器 屏蔽路由器 3. 屏蔽子网体系结构 屏蔽子网体系结构通过添加额外的安全层（周边网络）进一步把内部网络与Internet隔离开。在这种结构下，即使攻破了堡垒主机，也不能直接侵入内部网络。 堡垒主机 Web服务器 屏蔽路由器 Intranet 内部路由器 周边网络：周边网络是在外部网络与用户的被保护的内部网络之间的附加的网络。其好处是攻击者即使侵入周边网络上的堡垒主机，也仅能探听到周边网络上的通信，内部网的通信仍然是安全的。 选择较为成熟，但用户群最小的操作系统作为堡垒主机的操作系统； 选择可拥有若干个接口同时处于活跃状态，并且能可靠地提供一系列内部网用户所需要的因特网服务的机器作为堡垒主机； 不盲目追求硬件性能。 堡垒主机：堡垒主机是外界连接的主要入口，它用户网络上最容易受侵袭的机器。设计和建立堡垒主机的基本原则有两点：最简化原则和预防原则。实际中选择堡垒主机通常遵循以下原则： 内部路由器：内部路由器又被称为阻塞路由器，它执行大部分的数据包过滤工作，保护内部网络免受Internet和周边网的侵犯。 外部路由器：外部路由器又被称为访问路由器。它能有效阻止从Internet上伪造源地址进来的任何数据包。保护周边网和内部网络免受Internet的侵犯。 内部防火墙：同一内部网不同组织结构之间的防火墙，如试验网络、高保密网络、联合防火墙等。 路由器通过审查数据包以判断它是否与包过滤规则相匹配。过滤规则只处理数据包头部信息而不理