计算机网络安全管理课件第8章防火墙安全管理.pptx

第8章 防火墙安全管理8.1 防火墙概述8.2 防火墙的类型8.3 防火墙体系结构8.4 防火墙的选择8.5 常用防火墙的配置与管理现代网络安全服务一般有两种：一是存取控制，禁止非法的通信和连网；二是通信安全服务，提供授权数据的完整性、可靠性，具有对同级通信者的访问否定权。当用户连上Internet，就可在中间插入一个或几个中介系统的控制关联，防止通过网络进行的攻击，并提供单一的安全和审计的安装控制点，这些中间系统就是防火墙。由于Internet的开放性，网络安全技术变化很大，Internet的安全技术包括传统的网络安全技术和分布式网络安全技术，主要技术是解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。而防火墙正能实现这些技术。防火墙是一种被动的防御技术，是一类防范措施的总称，是保护计算机网络安全技术性措施之一，是一种隔离控制技术，在内部专用网和外部网络间设置保护，防止对信息资源的非授权访问，防火墙也是目前在网络安全技术中使用最多、最广泛的，因此我们有必要在网络安全管理中专门来讲述。§8.1防火墙概述防火墙（Firewall），是现代网络安全技术中最常用的技术，它使得内部网络与外部网络（包括Internet等）之间的通信量必须经过防火墙进行筛选，符合标准的分组将被正常转发，不能通过检查的分组就被丢弃。设置防火墙，就形同装置一个防盗门。一般的防火墙由两个组成部分：两个分组筛选器（路由器）和一个应用程序网关。 防火墙是用来保护由许多台计算机组成的大型网络，防火墙可以是非常简单的过滤器，也可能是精心配置的应用网关，但它们的原理是一样的，都是监测并过滤所有通向外部网和从外部网传来的信息，防火墙保护着内部敏感的数据不被偷窃和破坏，并用日志记录通信发生的时间和操作。防火墙通常是运行在一台计算机中的软件，它可以识别并屏蔽非法的请求。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。§8.1.1 防火墙的特点§8.1.2 实现防火墙的技术1. 包过滤技术(PacketFilter)包过滤是在网络层中对数据包进行有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。　包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型包过滤器。包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。包过滤另一个也是很关键的弱点是不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过报文过滤器。2. 应用网关技术(ApplicationGateway)应用网关技术是利用网络应用层上的协议过滤。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。在实际工作中，应用网关一般由专用工作站系统来完成。3. 代理服务(ProxyServer)是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现，这就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。代理服务器则是代表网络内部用户的代理者，它实际上是一个应用层上的网关。当用户使用TCP/IP应用时，给Proxy提供合法身份和授权信息，Proxy就和被访问主机联系，并在两个通信点之间中继传递IP数据包。IP包处理的过程对用户是透明的。 4. IP通道（IPTunnels）当两个相关的网络相隔很远，要通过Internet通信的情况下，可以采用IPTunnels来防止Internet上的入侵者截取信息，实质是建立虚拟专用网。试分析一下其工作原理。　　子网A