信息安全导论 教学课件 作者 印润远 第8章 防火墙技术.pptVIP

第8章　防火墙技术 8.1 防火墙的基本概念 8.2 防火墙类型 8.3 防火墙的体系结构 8.4 防火墙的基本技术与附加功能 8.5 防火墙技术的几个新方向 8.6 常见的防火墙产品 思考题 8.1　防火墙的基本概念 8.1.1　有关的定义 8.1.2　防火墙的功能 8.1.3　防火墙的局限性 8.1.1　有关的定义 概括地说，防火墙是位于两个（或多个）网络间用于实施网络间访问控制的一组组件的集合。下图为防火墙示意图。 （1）防火墙 ； （2）主机； （3）堡垒主机 ； （4）双宿主主机 ； （5）包； （6）路由； （7）包过滤； （8）参数网络 ； （9）代理服务器 。 8.1.2　防火墙的功能 （1）隔离不同的网络，限制安全问题的扩散。防火墙作为一个中心“遏制点”，它将局域网的安全进行集中化管理，简化了安全管理的复杂程度。 （2）防火墙可以很方便地记录网络上的各种非法活动，监视网络的安全性，遇到紧急情况报警。 （3）防火墙可以作为部署NAT（Network Address Translation，网络地址变换?）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。 （4）防火墙是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 （5）防火墙也可以作为IPSec的平台。 （6）防火墙可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火协议区（DMZ）。 8.1.3　防火墙的局限性 （1）网络上有些攻击可以绕过防火墙，而防火墙却不能对绕过它的攻击提供阻挡。 （2）防火墙管理控制的是内部与外部网络之间的数据流，它不能防范来自内部网络的攻击。 （3）防火墙不能对被病毒感染的程序和文件的传输提供保护。 （4）防火墙不能防范全新的网络威胁。 （5）当使用端到端的加密时，防火墙的作用会受到很大的限制。 （6）防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。 8.2　防火墙类型 8.2.1　防火墙的类型 8.2.2　分组过滤路由器 8.2.3　应用级网关 8.2.4 电路级网关 8.2.1　防火墙的类型 随着Internet和Intranet的发展，防火墙的技术也在不断发展，其分类和功能不断细化，但总的来说，可以分为三类： （1）分组过滤路由器。 （2）应用级网关。 （3）电路级网关。 8.2.2 分组过滤路由器 分组过滤路由器也称包过滤防火墙，又称网络级防火墙，因为它是工作在网络层。 它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。路由器就是一个网络级防火墙。 1．包过滤防火墙 （1）数据包过滤技术的发展：静态包过滤、动态包过滤。 （2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。 （3）包过滤的缺点： 不能彻底防止地址欺骗； 一些应用协议不适合于数据包过滤； 一些应用协议不适合于数据包过滤； 正常的数据包过滤路由器无法执行某些安全策略； 安全性较差 ； 数据包工具存在很多局限性。 8.2.3 应用级网关 1. 层次 应用级网关主要工作在应用层。 应用级网关往往又称为应用级防火墙。 2. 功能 主要保存Internet上那些最常用和最近访问过的内容：在Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。 3. 基本工作过程 当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据， 然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内部网络。 4. 常用的代理服务软件 HTTP； SMTP； FTP； Telnet等。 5. 不足 实现麻烦，而且有的应用级网关缺乏“透明度”。 用户在受信网络上通过防火墙访问Internet时，经常出现延迟和多次登录才能访问外部网络的问题。 应用级网关每一种协议需要相应的代理软件，使用时工作量大，速度相对较慢，效率明显不如网络级防火墙