防火墙的设计和实现.pptxVIP

第5章防火墙;关键词汇： 防火墙（FireWall）、包过滤(Packet filtering)、包状态监测(Stateful Inspection)、应用代理(Application Proxy)、应用网关(Application Gateway)、自适应代理(Adaptive proxy)、包过滤型防火墙（Packet filtering firewall）、电路级网关（Circuit level gateway）、应用级网关（Application level gateway）、 状态监测防火墙（Stateful Inspection Firewall）、会话（Session）、安全规则 （Security Rules）、网络地址转换（Network Address Translation）、透明的代理服务（Transparent Proxy）、信息过滤（Filter）、非军事化区（DMZ）、入侵检测功能（IDS） ;5.1 防火墙概述 ;这种中介系统被称为网络世界中的防火墙或防火墙系统。防火墙的主要作用是提供行之有效的网络安全机制，同时其本身也是网络安全策略的有机组成部分。它作为不同网络或网络安全域之间信息的出入口，能根据用户设定的安全策略控制和监测网络之间的信息流，且本身具有较强的抗攻击能力。 目前，虽然还没有哪一种安全机制可以完全地确保网络的安全，但无疑防火墙系统将给自己的内部网络提供巨大的安全保障。使用防火墙可以有效地防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料安全，一般可为电信、邮政、政府、教育、能源、金融、企业等各部门以及个人的现有网络提供有效、安全的保护措施。 ;5.2 防火墙的设计和实现 ;5.2.1 防火墙的主要设计思想;; 防火墙可以使企业内部网络（LAN）网络与外部网络之间互相隔离、限制网络互访来实现保护内部网络的目的。防火墙一般具有以下三个方面的基本特性： 1、网络间数据流通过唯一性??? 这是由防火墙所处逻辑位置决定的，同时也是一个部署防火墙的前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护内部网络不会遭受攻击和入侵。一般而言防火墙非常适用于内部网络系统的边界，属于内部网络的安全保护设备，即防火墙的逻辑位置一直处于网络的边界上。网络边界是指采用不同安全策略的两个网络连接处，比如内部网络和互联网之间连接、和其它业务往来单位的网络连接、内部网络不同部门之间的连接等。建立防火墙的目的就是在网络边界之间建立一个安全控制点、中转站，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。;典型的防火墙部署位置如下图所示。在这里我们可以看出，防火墙的一端连接企事业单位内部网络，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。 ;2、安全策略合法性 ??? 防火墙最基本的功能是确保网络数据流通过时相对于事先设定的安全策略的合法性，并在此前提下将网络的数据流快速的从一条链路转发到另外的链路上去。最简单的防火墙模型，是一种被称为“双穴主机”的技术，实现起来非常简单，即使用一台具备两个网络接口的计算机，该台计算机同时拥有两个网络层地址，非常类似于现在的代理服务器。但“双穴主机”的主要作用是对从一个网络层地址流到另一个网络层地址的数据流进行过滤。实际上至今我们所使用的防火墙技术的工作原理仍然是将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断、抛弃。 ;从这个角度上来说，防火墙是一个多端口的（网络接口=2）数据转发设备，类似于桥接或路由器，它跨接于多个分离的物理网段之间，并在数据报文转发过程之中完成对报文的审查过滤工作。 ;3、抗攻击入侵特性 既然防火墙的逻辑位置位于网络边界又具有安全保卫的责任。大家试想一下我们为保障我们的自身安全，高价聘用一位保安，如果这个保安十分脆弱不堪一击，连自己都保护不了，那他对我们而言就没有任何存在的价值。因此防火墙必须具有非常强的抗攻击能力，也是担当内部网络安全防护重任的先决条件。防火墙处于网络边界，就像一个边界卫士，每时每刻都要面对黑客的入侵。这一特性的前提实现的关键是防火墙操作系统本身，只有自身具有完整信任关系的搞稳定性操作系统才可以保证整个网络系统的安全性。;另外防火墙一般自身只提供具有非常低的服务功能，除了专门的防火墙嵌入系统外，不提供任何其它应用程序在防火墙上的运行环境，即不允许任何其它应用程序在防火墙系统上运行。当然由于防火墙操作系统本身也是属于操作系统的一种，因此其必然具有操作系统的特性，也就是说防火墙操作