网络安全第讲防火墙.ppt

第4讲 防火墙 一、防火墙基本知识 1、防火墙的提出 2、防火墙示意图 3、防火墙是什么 4、防火墙概念 5、防火墙实现层次 6、防火墙功能 7、争议及不足 1、防火墙的提出 2、防火墙示意图 3、防火墙是什么（1） 在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统. 3、防火墙是什么（2） 4、防火墙概念（1） 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski(Internet Security公司总裁）： 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。 4、防火墙概念（2） 4、防火墙概念（3） 简单的说，网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 5、防火墙实现层次 6、防火墙功能（2） 7、争议及不足 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制 防火墙的姿态 拒绝没有特别允许的任何事情 允许没有特别拒绝的任何事情 机构的安全策略 防火墙不是独立的，是机构总体安全策略的一部分。 安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析的基础上。 成本因素。 二、防火墙种类 1、防火墙的种类 2、包过滤防火墙 3、NAT模式 4、代理服务器 5、全状态检查 1、防火墙的种类 防火墙的存在形式：软件、硬件。 根据防范方式和侧重点的不同可分为四类： 包过滤 应用层代理 电路层代理 状态检测 2、包过滤防火墙（1） 2、包过滤防火墙（2） 包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。 2、包过滤防火墙（3） 包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。 2、包过滤防火墙（4） 数据包过滤一般要检查网络层的IP头和传输层的头： IP源地址 IP目标地址 协议类型（TCP包、UDP包和ICMP包） TCP或UDP包的目的端口 TCP或UDP包的源端口 ICMP消息类型 TCP包头的ACK位 TCP包的序列号、IP校验和等 2、包过滤防火墙（5） UDP的动态数据包过滤 流入流出的UDP数据报的源地址、源端口号、目的地址、目的端口号要匹配 2、包过滤防火墙（6）优缺点 3、NAT模式（1） NAT的类型 静态NAT NAT池 PAT（端口NAT） 3、NAT模式（2） 3、NAT模式（3） 4、代理服务 代理服务分类：代理服务可分为应用级代理与电路级代理： 应用级代理针对每一个应用都有一个程序，它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息，缺点为只适用于单一协议。 电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。 4、应用级代理proxy (1) 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许直接在外部网和内部网之间建立通信。 将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”，由两个终止代理服务器上的“ 链接”来实现 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 代理企图在应用层实现防火墙的功能，代理的主要特点就是有状态性。 4、应用级代理proxy (2) Telnet代理服务器 4、应用级代理proxy (4) ）应用层代理的优点 应用层代理能够让网络管理员对服务