计算机网络安全管理课件 防火墙安全管理.pptVIP

第8章 防火墙安全管理 8.1 防火墙概述 8.2 防火墙的类型 8.3 防火墙体系结构 8.4 防火墙的选择 8.5 常用防火墙的配置与管理 现代网络安全服务一般有两种：一是存取控制，禁止非法的通信和连网；二是通信安全服务，提供授权数据的完整性、可靠性，具有对同级通信者的访问否定权。当用户连上Internet，就可在中间插入一个或几个中介系统的控制关联，防止通过网络进行的攻击，并提供单一的安全和审计的安装控制点，这些中间系统就是防火墙。由于Internet的开放性，网络安全技术变化很大，Internet的安全技术包括传统的网络安全技术和分布式网络安全技术，主要技术是解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。而防火墙正能实现这些技术。 防火墙是一种被动的防御技术，是一类防范措施的总称，是保护计算机网络安全技术性措施之一，是一种隔离控制技术，在内部专用网和外部网络间设置保护，防止对信息资源的非授权访问，防火墙也是目前在网络安全技术中使用最多、最广泛的，因此我们有必要在网络安全管理中专门来讲述。 §8.1 防火墙概述 防火墙（Firewall），是现代网络安全技术中最常用的技术，它使得内部网络与外部网络（包括Internet等）之间的通信量必须经过防火墙进行筛选，符合标准的分组将被正常转发，不能通过检查的分组就被丢弃。设置防火墙，就形同装置一个防盗门。一般的防火墙由两个组成部分：两个分组筛选器（路由器）和一个应用程序网关。 防火墙是用来保护由许多台计算机组成的大型网络，防火墙可以是非常简单的过滤器，也可能是精心配置的应用网关，但它们的原理是一样的，都是监测并过滤所有通向外部网和从外部网传来的信息，防火墙保护着内部敏感的数据不被偷窃和破坏，并用日志记录通信发生的时间和操作。防火墙通常是运行在一台计算机中的软件，它可以识别并屏蔽非法的请求。 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。 §8.1.1 防火墙的特点 防火墙已经成为网络的首选，它的广泛应用与它的特点有紧密的联系，防火墙具有如下的特点。 · 广泛的服务支持 防火墙动态的将应用层过滤能力和认证相结合，可以实现应用层的大部分服务（如WWW服务、HTTP服务器、FTP服务等）； · 数据的加密支持 保证通过Internet进行虚拟专用网络和电子商务不受损坏； · 电子欺骗 欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。防火墙能监视过滤数据包，欺骗的数据包将过滤掉。 · 过滤掉不安全服务和非法用户； · 控制对特殊站点的访问； · 提供了监视Internet安全和预警的方便端点； · 防火墙能强化安全策略； · 防火墙能有效地记录Internet上的活动；作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。 · 防火墙限制暴露用户点，（所以现在一般用应用代理服务器）。 §8.1.2 实现防火墙的技术 1. 包过滤技术(PacketFilter) 包过滤是在网络层中对数据包进行有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。　包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型包过滤器。包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。包过滤另一个也是很关键的弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过报文过滤器。 2. 应用网关技术(ApplicationGateway) 应用网关技术是利用网络应用层上的协议过滤。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。在实际工作中，应用网关一般由专用工作站系统来完成。 3. 代理服务(ProxyServer) 是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员