计算机网络基础第9章网络管理与网络安全.ppt

9.4 防火墙 * 9.4 防火墙 2. 屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连的主机的服务（但是路由关闭），而屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包负责，其结构如图9.10所示。 * 9.4 防火墙 在图9.10中堡垒主机位于内部的网络上。从图中可以看出，在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：即堡垒主机是因特网上的主机连接到内部网络上的系统的桥梁（例如，传送进来的电子邮件）。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。 * 9.4 防火墙 数据包过滤也允许堡垒主机开放可允许的连接（“可允许”由用户站点的安全策略决定）到外部世界。 * 9.4 防火墙 3. 屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与因特网隔离开。 * 9.4 防火墙 9.4.5 典型的Internet防火墙 现在已经了解了防火墙的基本概念，通常情况下，包过滤防火墙与应用网关常常一起配合使用，这样既为内部的主机访问外部信息提供了一个安全的数据通道，同时又能有效地防止外部主机对内部网络的非法访问。一个典型的防火墙的示意图如图9.12所示。 * 9.4 防火墙 * 9.4 防火墙 9.4.6 分布式防火墙 传统的防火墙如包过滤型和代理型，它们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高，目前出现了一种新型防火墙，那就是“分布式防火墙”，英文名为Distributed Firewalls，它是在传统的边界式防火墙基础上开发的。由于其优越的安全防护体系符合未来的发展趋势，所以这一技术一出现便得到许多用户的认可和接受。下面重点介绍这种新型的防火墙技术。 * 9.4 防火墙 1. 分布式防火墙的产生 因为传统的防火墙设置在网络边界，处于内、外部计算机网络之间，所以也称为“边界防火墙”。随着人们对网络安全防护要求的提高，边界防火墙明显已不能满足需求，因为给网络带来安全威胁的不仅是外部网络，更多的是内部网络。但边界防火墙无法对内部网络实现有效的保护，除非对每一台主机都安装防火墙，这是不可能的。 * 9.4 防火墙 基于这种需求，一种新型的防火墙技术即分布式防火墙技术产生了。它可以很好地解决边界防火墙的不足，不用为每台主机安装防火墙而能够把防火墙的安全防护系统延伸到网络中的每台主机。一方面有效地保证了用户的投资不会很高，另一方面给网络带来了非常全面的安全防护。 分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，新的防火墙体系结构包含如下部分： * 9.4 防火墙 （1）网络防火墙（Network Firewall）。网络防火墙是用于内部网与外部网之间，以及内部网各子网之间的防护产品。与传统边界防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络间的安全防护体系就显得更加安全可靠。 （2）主机防火墙（Host Firewall）。主机防火墙驻留在主机中，负责策略的实施。它对网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一子网内部工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。 * 9.4 防火墙 （3）中心管理（Central Managerment）。中心管理服务器负责安全策略的制定、管理、分发及日志的汇总，中心策略是分布式防火墙系统的核心和重要特征之一。这是一个防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是以前传统边界防火墙所不具有的新的防火墙的管理功能。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，使其具备可管理性。 * 9.4 防火墙 2. 分布式防火墙的主要特点 综合起来这种新的防火墙技术具有以下几个主要特点： （1）保护全面性。分布式防火墙把互联网和内部网络均视为“不友好的”，它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些非必要的协议（如HTTP和HTTPS之外的协议）通过，从而阻止了非法入侵的发生，同时还具有入侵检测及防护功能。 * 9.4 防火墙 （2）适用于服务器托管。不同的托管用户有不同数量的服务器在数据中心