第10章 防火墙技术应用.pptVIP

第10章 防火墙技术应用 河南经贸职业学院信息管理系 主要内容 10.1.1 防火墙的概念 10.1.2 防火墙的功能及特点 1.防火墙的功能 防火墙是网络安全的一道屏障，它可以作为内网和外网之间的一个阻塞点或是控制点，极大地提高了一个内部网络的安全，并通过过滤不安全的服务来降低风险。只有经过其许可的应用协议或服务才能通过防火墙，因此网络环境将更安全。其功能主要有以下几种： (1)所有进出网络的通信数据都必须通过防火墙； (2)所有想穿过防火墙的通信数据都必须经过安全策略以及计划的确认和授权后才允许通过； (3)可以很方便地监视网络的安全性，并报警； (4)可以作为部署NAT(Network Address Translation，网络地址转换)的一个地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用于缓解IP地址空间不足的问题。 10.1.2 防火墙的功能及特点 2.防火墙的优点 1)防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全策略(如口令、加密、身份认证、审计等)配置在防火墙上。防火墙执行网络的安全策略，只允许经过许可的、符合规则的请求通过。 2)对网络存取和访问进行监控审计 防火墙可以记录所有经过访问墙的访问并做出日志记录，同时也能提供网络使用情况的统计数据。 3)防止内部信息外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 4)防火墙是一个安全策略的检查站 所有进出的信息都必须经过防火墙，它成为安全问题的检查点，拒绝可以的访问。 10.1.2 防火墙的功能及特点 3.防火墙的不足 虽然防火墙具有较多的优点，但是它还是存在着一些不足，主要有以下几个方面： 1)不能防范恶意的知情者 防火墙可以禁止系统用户通过网络连接发送信息，但是用户可以将这些信息通过移动硬盘、U盘和刻录光盘等形式带出去。如果入侵者是内部网络的用户，则防火墙也是无能为力的。 2)不能防范不通过防火墙的连接 如果信息不通过防火墙进行传输，则防火墙也不起作用。例如，内部网络中的站点通过其它连接方式(如拨号连接)连接外部网络，则防火墙就没有办法阻止入侵者利用拨号入侵。 3)不能防备全部的威胁 如果是一个很好的防火墙设计方案，则可以防御新的威胁，但是没有一个防火墙能够自动防御所有新的威胁。 4)不能防范病毒 防火墙不能清除网络上主机上的病毒。 10.1.3 防火墙的发展历史 1.基于功能划分，可分为如下五个阶段 1)第一代防火墙 20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤(Packet filter)技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。 2)第二、三代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙(或代理防火墙)；到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的，后来演变为目前所说的状态监视(Stateful inspection)技术。 3)第四代防火墙 1994年，市场上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品。 4)第五代防火墙 1998年，NAI公司推出了一种自适应代理(Adaptive proxy)技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 10.1.3 防火墙的发展历史 2.基于实现方式划分，可分为如下四个阶段 1)第一代防火墙 基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 2)第二代防火墙 用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。 3)第三代防火墙 建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。 4)第四代防火墙 具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。 10.2.1 包过滤防火墙 包过滤防火墙(Packet