网络安全,防火墙.pptVIP

安全防火墙 朱思如一：防火墙 由于Internet的迅速发展,提供了发布信息和检索信息的场 所，但它也带来了信息污染和信息破坏的危险,人们为了 保护其数据和资源的安全,出现了防火墙。防火墙从本质 上说是一种保护装置。它保护的是数据、资源和用户的 声誉。 1.Internet防火墙 防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险（病毒、资源盗用等）传播到你的网络内部。 而事实上Internet防火墙不象一座现代化大厦中的防火墙，更象北京故宫的护城河。它服务多个目的： （1）限制人们从一个特别的控制点进入； （2）防止侵入者接近你的其它设施； （3）限定人们从一个特别的点离开； （4）有效的阻止破坏者对你的计算机系统进行破坏。 因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。 2.防火墙的优点 （1）防火墙能强化安全策略 （2）防火墙能有效地记录Internet上的活动 （3）防火墙限制暴露用户点 （4）防火墙是一个安全策略的检查站 3、防火墙的不足之处 （1）不能防范恶意的知情者 （2）不能防范不通过它的连接 （3）不能防备全部的威胁 （4）防火墙不能防范病毒 7 二、 防火墙体系结构 包过滤型防火墙(Package Filtering Firewall) 双宿/多宿主机防火墙(Dual-Homed/Multi-Homed Host Firewall) 屏蔽主机防火墙(Screened Host Firewall) 屏蔽子网防火墙(Screened Subnet Firewall) 其它防火墙结构 8 包过滤型防火墙 包过滤型防火墙，往往可以用一台过滤路由器(Screened Router)来实现，对所接收的每个数据包做允许/拒绝的决定 包过滤型防火墙一般作用在网络层，故也称网络层防火墙或IP过滤器 9 查找对应的控制策略 根据策略决定如何处理该数据包 数据包 包过滤型防火墙 数据包 拆开数据包 分组过滤判断信息 企业内部网 Host C Host A 10 包过滤型防火墙 路由器审查每个数据包，确定其是否与某一条包过滤规则匹配 过滤规则基于可以提供给IP转发过程的包头信息，包头信息中包括： 源IP地址、目标IP地址 协议类型(TCP、UDP、ICMP等等) TCP/UDP源端口、目标端口 ICMP消息类型 TCP包头中的ACK位等 11 包过滤型防火墙 对到达包过滤防火墙的数据包： 规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发 规则拒绝该数据包，那么该数据包就会被丢弃 如果没有匹配规则，根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包 12 包过滤型防火墙 优点： 处理数据包的速度比较快(与代理服务器相比) 在流量适中并定义较少过滤规则时，路由器的性能几乎不受影响 实现包过滤几乎不再需要费用 标准的路由器软件包含数据包过滤功能 包过滤路由器对用户和应用来讲是透明的 不必对用户进行特殊的培训 不必在每台主机上安装特定的软件 用户不用改变客户端程序或改变自己的行为 13 包过滤型防火墙 缺点： 包过滤防火墙的维护比较困难 定义数据包过滤器比较复杂，网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解 只能阻止一种类型的IP欺骗 即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP不能阻止 任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险 数据驱动式攻击：表面上无害的数据被邮寄或拷贝到内部主机上，但其中包含了一些隐藏的指令，一旦执行能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权 14 包过滤型防火墙 缺点： 一些包过滤路由器不支持有效的用户认证 因为IP地址是可以伪造的，因此如果没有基于用户的认证，仅通过IP地址来判断是不安全的 不能提供有用的日志，或根本不提供日志 随着过滤器数目的增加，路由器的吞吐量会下降 IP包过滤器可能无法对网络上流动的信息提供全面的控制 包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境和数据 15 包过滤型防火墙 应用场合 机构是非集中化管理 机构没有强大的集中安全策略 网络的主机数非常少 主要依赖于主机安全来防止入侵，但是当主机数增加到一定的程度的时候，仅靠主机安全是不够的 没有使用DHCP这样的动态IP地址分配协议 16 双宿/多宿主机防火墙 双宿/多宿主机：有两个或多个网络接口的计算机系统，可以连接多个网络，实现多个网络之间的访问控制 双宿/多宿主机防火墙：用双宿/多宿主机实现防火墙的功能 17