第5章 防火墙技术计算机网络基础与应用.pptVIP

1 ）双重宿主主机结构； 2 ）被屏蔽主机结构； 3 ）被屏蔽子网结构。 5.3 防火墙体系结构 （ （ （ ? ? ? ? 第 5 章 防火墙技术 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙 防火墙及相关概念 5.1 防火墙概述 防火墙的概念 防火墙（ Firewall ）是指隔离在内部网络与外部网络之间的一道防御 系统，它能挡住来自外部网络的攻击和入侵，保障着内部网络的安 全 Internet 防火墙 内部网 ...... 工作站 服务器 工作站 工作站 2 、几个常用概念 ? 外部网络（外网）：防火墙之外的网络，一般为 Internet ，默 认为风险区域。 ? 内部网络（内网）：防火墙之内的网络，一般为局域网，默认 为安全区域。 ? 非军事化区（ DMZ ）：为了配置管理方便，内网中需要向外网 提供服务的服务器（如 WWW 、 FTP 、 SMTP 、 DNS 等）往往放在 Internet 与内部网络之间一个单独的网段，这个网段便是非军事化区。 ? 包过滤，也被称为数据包过滤，是在网络层中对数据包实施有 选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个 数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否 允许数据包通过。 代理服务器，是指代表内部网络用户向外部网络中的服务器进行连接 请求的程序 3. 防火墙安全策略 （ 1 ）除非明确允许，否则就禁止 这种方法堵塞了两个网络之间的所有数据传输，除了那些被明确允 许的服务和应用程序。因此，应该逐个定义每一个允许的服务和 应用程序，而任何一个可能成为防火墙漏洞的服务和应用程序都 不能允许使用。这是一个最安全的方法，但从用户的角度来看， 这样可能会有很多限制，不是很方便。一般在防火墙配置中都会 使用这种策略。 （ 2 ）除非明确禁止，否则就允许 这种方法允许两个网络之间所有数据传输，除非那些被明确禁止的 服务和应用程序。因此，每一个不信任或有潜在危害的服务和应 用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法， 它却可能存在严重的安全隐患。 5.1.2 防火墙的作用 （ 1 ）可以限制未授权用户进入内部网络， 过滤掉不安全服务和非法用户； （ 2 ）防止入侵者接近内部网络的防御设施， 对网络攻击进行检测和告警； （ 3 ）限制内部用户访问特殊站点； （ 4 ）记录通过防火墙的信息内容和活动， 监视 Internet 安全提供方便。 5.1.3 防火墙的优、缺点 1 ．优点 防火墙是加强网络安全的一种有效手段， 它有以下优点： （ 1 ）防火墙能强化安全策略 （ 2 ）防火墙能有效地记录 Internet 上的活 动 （ 3 ）防火墙是一个安全策略的检查站 2 ．缺点 （ 1 ）不能防范恶意的内部用户 防火墙可以禁止内部用户经过网络发送机密信息，但用户可以将数据复 制到磁盘上带出去。如果入侵者已经在防火墙内部，防火墙也是无能 为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件，这 类攻击占了全部攻击的一半以上。 （ 2 ）不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息，却不能防范不通过它传输的 信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问， 那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 （ 3 ）不能防范全部的威胁 防火墙被用来防范已知的威胁，一个很好的防火墙设计方案可以防范某 些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 （ 4 ）防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病 毒。无论防火墙多么安全，用户都需要一套防毒软件来防范病毒。 5.2 防火墙技术分类 （ 1 ）包过滤防火墙 又称网络层防火墙，它对进出内部网络的所有信息进行 分析，并按照一定的信息过滤规则对信息进行限制， 允许授权信息通过，拒绝非授权信息通过。 （ 2 ）代理服务器 这种防火墙是目前最通用的一种，基本工作过程是：当 客户机需要使用外网的服务器上的数据时，首先将数 据请求发给代理服务器，代理服务器根据请求向服务 器索取数据，然后再由代理服务器将数据传输给客户 机。同样的道理，代理服务器在外网向内网申请服务 时也发挥了中间转接的作用。 5.2.1 包过滤技术 包过滤（ Packet Filtering ）技术在网络层中对数 据包实施有选择的通过，依据系统事先设定好 的过滤规则，检查数据流中的每个包，根据包 头信息来确定是否允许数据包通过，拒绝发送 可疑的包。 使用包过滤技术的防火墙叫做包过滤防火墙 （ Packet filter ），因为它工作在网络层， 又叫网络层防火墙（ Network level firewall ）。 包 过 滤 防 火 墙 一