第5章防火墙技术-公开课件（讲义）.pptVIP

谢谢使用！ 第 5 章：防火墙技术 第5章 防火墙技术 5.1 防火墙安全概述 5.2 防火墙技术的分类 5.3 常见的防火墙系统结构 5.4 防火墙选购策略 5.5 防火墙实例 5.1 防火墙技术概述 5.1.1 防火墙的定义 5.1.2 防火墙的作用 5.1.3 防火墙的缺陷 5.1.4 防火墙技术的发展趋势 5.1.1 防火墙的定义 人们用于保护计算机网络中敏感数据不被窃取和篡改的计算机软硬系统叫做“防火墙”。 防火墙是设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。 防火墙是一类防范措施的总称，不是一个单独的计算机程序或设备。在物理上，它通常是一组硬件设备和软件的多种组合。 防火墙示意图 5.1.2 防火墙的作用 防火墙的作用主要体现在以下几个方面： 1．防火墙是网络安全的屏障 2．防火墙可以强化网络安全策略 3．网络存取和访问监控审计 4．防止内部信息的外泄 5．防火墙支持具有Internet ??服务特性的企业内部网络技术体系VPN 5.1.3 防火墙的缺陷 尽管防火墙有许多防范功能，但由于互连网的开放性，它也有一些不如人意的地方，主要表现在以下几个方面。 1）防火墙不能防范绕过防火墙的攻击。 2）防火墙不能防止数据驱动式攻击。 3）防火墙不能防止感染了病毒的软件或文件的传输。 4）防火墙不能防止来自内部变节者和用户带来的威胁。 5.1.4 防火墙技术的发展趋势 1．深度包检测 深度包检测是指对数据报的分析深人到内存，充分理解各种应用协议的流程以及脆弱性所在，以做出针对性的检测和保护。 2．网络安全产品的系统化 将防火墙和入侵检测、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，系统网络的安全性得以明显提升。 5.2 防火墙技术的分类 5.2.1 包过滤防火墙技术 5.2.2 代理防火墙技术 返回本章首页 5.2.1 包过滤防火墙技术 1．包过滤防火墙技术 数据包过滤 技术是防火墙为系统提供安全保障的主要技术，它依据系统内事先设定的过滤逻辑，通过设备对进出网络的数据流进行有选择的控制与操作。 数据包过滤技术作为防火墙的应用有3种。第一种是路由设备在完成路由选择和数据转发的同时进行包过滤。第2种是在工作站上使用软件进行包过滤。第3种是在一种 是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式是第一种。 包过滤作用在网络层和传输层，以IP包信息为基础，对通过防火墙的IP包的源,目的地址，TCP/UDP的端口标识符及ICMP等进行检查。 2． 包过滤防火墙技术的优缺点 数据包过滤防火墙技术有很多优点，主要体现在以下几点。 1）包过滤技术不用改动客户机和主机上的应用程序 . 2）单独的，放置恰当的数据包过滤路由器有助于整个网络。 3）数据包过滤技术对用户没有特别的要求。 4）大多数路由器都具有数据包过滤功能， 数据包过滤也存在一些缺陷。 1）在过滤过程中判别的只有网络层和传输层的有限信息。 2）在许多过滤器中，过滤规则的数目是有限制的，随着规则数目的增加，设备性能会受到很大地影响，导致数据包过滤器使用户难以用某些用户需要的规则。 3）当前的过滤工具并不完善，或多或少的存在一些局限性。 4）由于缺少上下文关联信息，数据包过滤路由器不能有效地过滤诸如UDP，RPC，FTP一类的协议。 5）数据包过滤技术对安全管理人员素质要求较高。 5.2.2 代理防火墙技术 1．代理防火墙技术 代理防火墙的主要是因为代理服务器（Proxy Server）。代理服务器是指代理内部网络用户与外部网络服务器进行信息交换的程序。它可以将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再送给用户。 代理防火墙作用在应用层，用来提供应用层服务的控制，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序。实现监视和控制应用层通信流的作用。所以代理防火墙又被称为应用代理或应用层网关型防火墙。 代理防火墙的示意图 2．代理防火墙技术的优缺点 代理防火墙技术的优点如下。 1）代理能生成各项记录。 2）代理易于配置。。 3）代理能灵活，完全地控制进出流量，内容。通过采取一定措施，按照一定的规则，用户可以借助代理实现一整套的安全策略。 4）代理能过滤数据内容。 5）代理可以方便地与其他安全手段集成。 代理防火墙技术了有它的缺点。 1）代理对用户不透明，多代理要求客户端做相应改动或安装定制客户