防火墙技术的原理与应用 .ppt

　　代理服务技术也是常用的防火墙技术，安全管理员为了对内部网络用户进行应用级上的访问控制，常安装代理服务器，如图8-7所示。 　　受保护内部用户对外部网络访问时，首先需要通过代理服务器的认可，才能向外提出请求，而外网的用户只能看到代理服务器，从而隐藏了受保护网的内部结构及用户的计算机信息。因而，代理服务器可以提高网络系统的安全性。应用服务代理技术的优点是： 图8-7 代理服务器工作示意图 　　* 不允许外部主机直接访问内部主机； 　　* 支持多种用户认证方案； 　　* 可以分析数据包内部的应用命令； 　　* 可以提供详细的审计记录。 　　而它的缺点是： 　　* 速度比包过滤慢； 　　* 对用户不透明； 　　* 与特定应用协议相关联，代理服务器并不能支持所有的网络协议。 8.2.3 网络地址转换 　　NAT是“Network Address Translation”的英文缩写，中文的意思是“网络地址转换”。NAT技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP地址和大量主机之间的矛盾。但NAT技术用在网络安全应用方面，则能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，从而提高内部网络的安全性。基于NAT技术的防火墙上装有一个合法的IP地址集，当内部某一用户访问外网时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。 　　实现网络地址转换的方式有：静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)三种类型。其中，静态NAT设置起来最为简单，此时内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。NAT的三种方式目前已被许多的路由器产品支持。在路由器上定义启用NAT的一般步骤如下： 　　第一步，确定使用NAT的接口，通常将连接到内部网络的接口设定为NAT内部接口，将连接到外网的接口设定为NAT的外部接口。 　　第二步，设定内部全局地址的转换地址及转换方式。 　　第三步，根据需要将外部全局地址转换为外部本地地址。 　　目前，专用的防火墙产品都支持地址转换技术，比较常见的有：IP-Filter和iptable。IP-Filter的功能强大，它可完成ipfwadm、ipchains、ipfw等防火墙的功能，而且安装配置相对比较简单。 8.3 防火墙主要技术参数 8.3.1 防火墙功能指标 防火墙主要功能类指标项如表8-2所示。 表8-2 防火墙主要功能类指标项 8.3.2 防火墙性能指标 　　评估防火墙性能指标涉及到防火墙所采用的技术，根据现有防火墙产品，防火墙在性能方面的指标主要有： 　　* 最大吞吐量：检查防火墙在只有一条默认允许规则和不丢包的情况下达到的最大吞吐速率。 　　* 转送速率：检查防火墙在通常安全规则发生作用的情况下，能以多快的速度转送正常的网络通信量。 　　* 最大规则数：检查在添加大数量访问规则的情况下，防火墙的性能变化状况。 　　* 并发连接数：防火墙在单位时间内所能建立的最大TCP 连接数，即每秒的连接数。 8.3.3 防火墙安全指标 　　由于防火墙在网络安全中扮演着重要的角色，因此防火墙的自身安全至关重要。当前，评价防火墙的安全功能的指标主要有： 　　* 入侵实时警告：防火墙能够对自身和受保护网络的非法攻击进行多种告警，如声音、日志、邮件、呼机、手机等。 　　* 实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。 　　* 抗攻击性要求：防火墙具有抵抗针对本身和受保护网络的攻击能力，这些攻击包括IP地址欺骗、拒绝服务攻击、渗透性攻击等。 　　* 防火墙所采用的操作系统应是安全可信的：防火墙应采用安全的操作系统或安全增强型的操作系统。 8.4 防火墙防御体系结构类型 8.4.1 基于双宿主主机防火墙结构 　　基于双宿主主机结构是最基本的防火墙系统结构。这种系统实质上是至少具有两个网络接口卡的主机系统。在这种结构中，一般都是将一个内部网络和外部网络分别连接在不同的网卡上，使内外网络不能直接通信。对从一块网卡上送来的IP包，经过一个安全检查模块检查后，如果是合法的，则转发到另一块网卡上，以实现网络的正常通信；如果不合法，则阻止通信。这样，内外网络直接的IP数据流完全在双宿主主机的控制之中，如图8-8所示。 图8-8 双宿主主机防火墙结构 8.4.2 基于代理型防火墙结构 　　双宿主主机结构由一台同时连接内外网络的主机提供安全保障，代理型结构则不同。代理型结