网络管理与安全技术.pptx

网络管理与安全技术第7章防火墙 防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用 。7.1防火墙基本概念 防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。 防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的内部网络，可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙可以是非常简单的过滤器，也可能是精心配置的网关。但都可用于监测并过滤所有内部网和外部网之间的信息交换。 防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输，并对网络数据的流动实现有效地管理。 　防火墙示意图 UF3500/3100防火墙应用 三端口NAT模式交换机路由器防火墙UF3500/3100PCPC集线器Mail服务器FTP 服务器7.1.1 防火墙技术发展状况 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，防火墙技术得到了飞速的发展。许多公司推出了功能不同的防火墙系统产品。第一代防火墙，又称为包过滤防火墙，其主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过或进行转发，但这种防火墙很难抵御IP地址欺骗等攻击，而且审计功能很差。第二代防火墙，也称代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火墙，它可以对每一层的数据包进行检测和监控。7.1.1 防火墙技术发展状况 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。7.1.2 防火墙的任务 防火墙应能够确保满足以下四个目标 ：1. 实现安全策略 防火墙的主要目的是强制执行人们所设计的安全策略。比如，安全策略中只需对E-mail服务器的SMTP流量作些限制，那么就要在防火墙中直接设置并执行这一策略。 防火墙一般实施两个基本设计策略之一 ：n???????? 凡是没有明确表示允许的就要被禁止；n???????? 凡是没有明确表示禁止的就要被允许。7.1.2 防火墙的任务2. 创建检查点 防火墙在内部网络和公网间建立一个检查点。通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。网络管理员可以在检查点上集中实现安全目的。 ??7.1.2 防火墙的任务九运会信息网络系统已经受并成功地抵御了87万多次网络攻击 3. 记录Internet活动 防火墙可以进行日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。 7.1.2 防火墙的任务保护内部网络 对于公网防火墙隐藏了内部系统的一些信息以增加其保密性。当远程节点探测内部网络时，其仅仅能看到防火墙。远程节点不会知道内部网络结构和资源。防火墙以提高认证功能和对网络加密来限制网络信息的暴露，并通过对所有输入的流量时行检查，以限制从外部发动的攻击。 7.2 防火墙技术 目前大多数防火墙都采用几种技术相结合的形式来保护网络不受恶意的攻击，其基本技术通常分为两类：l 网络数据单元过滤l 网络服务代理7.2.1 数据包过滤数据包过滤（Packet Filtering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 7.2.1 数据包过滤包过滤技术工作在OIS七层模型的网络层上并有两个功能，即允许和阻止；如果检查数据包所有的条件都符合规则，则允许进行路由；如果检查到数据包的条件不符合规则，则阻止通过并将其丢弃。包检查是对IP头和传输层的头进行过滤，一般要检查下面几项： 7.2.1 数据包过滤l 源IP地址l 目的IP地址l TCP/UDP源端口l TCP/UDP目的端口l 协议类型（TCP包、UDP包、ICMP包）l TCP报头中的ACK位l ICMP消息类型7.2.1 数据包过