网络攻防原理与技术 第3版 教案 -第12讲 网络防火墙.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第十二讲网络防火墙

目的要求：了解网络防火墙的基本概念；掌握网络防火墙的工作原理；掌握网络防火墙的体系结构；了解防火墙评价标准；了解网络防火墙的发展趋势。

重点难点：网络防火墙的工作原理；网络防火墙的体系结构。

方法步骤：理论讲授。

器材保障：电脑、投影仪。

主要教学内容:

一、防火墙概述

(一)防火墙的相关概念

网络型防火墙（network-basedfirewall），简称网络防火墙，部署于不同安全域之间（通常是在内部网络和外部网络的边界位置），对经过的数据流进行解析，具备网络层、应用层访问控制及安全防护功能的网络安全产品。网络防火墙主要有两种产品形态：单一主机防火墙、路由器集成防火墙。单一主机防火墙，也称为硬件防火墙，是目前最常见的网络防火墙，其硬件平台是一台主机，通常是一台高性能服务器，有至少两块网卡，每块网卡连接不同的网络，主机上运行防火墙软件，执行防火墙功能。除了具有专用硬件运行平台的单一主机防火墙之外，一些网络防火墙作为一个模块集成在路由器中，与路由功能共用一个硬件平台，这就是路由器集成防火墙。目前，大多数中高档路由器都支持这种模式的防火墙。

主机防火墙（host-basedfirewall）部署于计算机（包括个人计算机和服务器）上，也称为个人防火墙，提供网络层访问控制，应用程序访问限制和攻击防护功能的网络安全产品。主机防火墙的网络层访问控制功能与网络防火墙的网络层访问控制功能类似。主机防火墙本质是一类安装在个人计算机上的应用软件，位于主机和外部网络之间，为单台主机提供安全防护。

云防火墙的功能与传统防火墙类似，差别主要有两点：一是它部署在云上，以云服务的形式为用户提供防火墙功能，所以也称为“防火墙即服务（FirewallasaService，FWaaS）”；二是保护的对象主要是云上网络资产，这些云上资产（可能来自于不同云服务提供商）形成用户的虚拟专有云（VirtualPrivateCloud，VPC），类似于传统防火墙保护的内网资产。

(二)网络防火墙的功能

防火墙对内外网之间的通信进行监控、审计，在网络周界处阻止网络攻击行为，保护内网中脆弱以及存在安全漏洞的网络服务，防止内网信息暴露。具体来说，网络防火墙具有以下功能：

1.网络层控制

在网络层对网络流量进行控制，包括访问控制和流量管理。

访问控制功能主要包括：包过滤，对进出的网络数据包的源IP地址、目的IP地址、源端口、目的端口、协议类型等进行检查，根据预定的安全规则决定是否阻止数据包通过；网络地址转换（NAT），根据需要实现多对一、一对多、多对多的内外网地址转换。

流量管理是指根据策略调整客户端占用的带宽，主要功能包括：带宽管理，根据源IP、目的IP、应用类型和时间段对流量速率进行控制、速率保证；连接数控制，限制单个IP的最大并发会话数和新建连接速率，防止大量非法连接产生时影响网络性能；会话管理，当会话处于不活跃状态一定时间或会话结束后，终止会话。

2.应用层控制

在应用层对网络流量进行控制，包括：用户管控，基于用户认证的网络访问控制功能；应用类型控制，根据应用特征识别并控制各种应用流量，包括标准应用，也支持自定义应用的流量控制；应用内容控制，基于应用的内容对应用流量进行控制，如根据HTTP协议报文的请求方式、传输内容中的关键字等Web应用流量进行控制。

3.攻击防护

识别并阻止特定网络攻击的流量。除了自身提供的攻击防护外，很多防火墙还提供联动接口，通过接口与其他网络安全系统（如入侵检测系统）进行联动，如执行其他安全系统下发的安全策略等。

4.安全审计、告警与统计

防火墙位于内外网的边界位置，能够监视内外网之间所有的通信数据，可以详尽了解在什么时刻由哪个源地址向哪个目的地址发送了怎样负载内容的数据包。防火墙可以记录下所有的网络访问并进行审计记录，并对事件日志进行管理。同时，防火墙还可以对网络使用情况进行统计分析。

二、防火墙的工作原理

从具体的实现技术上看，防火墙可以分为包过滤防火墙（Packet-filteringFirewalls）和应用网关防火墙（ApplicationGatewayFirewalls）两类。包过滤防火墙又可以细分为无状态包过滤防火墙（StatelessPacket-filteringFirewalls）和有状态包过滤防火墙（StatePacket-filteringFirewalls）。通常情况下，如果没有特别说明，包过滤防火墙是指无状态包过滤防火墙，而将有状态包过滤防火墙称为状态检测防火墙(StateInspectionF