防火墙工作原理及应用讲课文档.pptVIP

防火墙工作原理及应用文档ppt第1页，共54页。

防火墙的概念防火墙（firewall）这个术语来自建筑结构的安全技术。在网络系统中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术，起到内部网与Internet之间的一道防御屏障。信息安全技术与应用第2页，共54页。

网络防火墙信息安全技术与应用第3页，共54页。

防火墙的功能访问控制防止外部攻击进行网络地址转换提供日志与报警对用户身份认证信息安全技术与应用第4页，共54页。

防火墙的历史最早的防火墙技术几乎与路由器同时出现，采用了分组过滤（packetfilter）技术；1992年，南加洲大学（UniversityofSouthernCalifornia，USC）信息科学院的Bob.Braden开发出了基于动态分组过滤（dynamicpacketfilter）技术的第4代防火墙，后来演变为状态监视（statefulinspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年，美国的网络联盟公司（networkassociatesinc，NAI）推出了一种自适应代理（adaptiveproxy）技术，并在其产品GauntletFirewallforNT中实现，给代理类型的防火墙赋予了全新的意义，可以称之为第5代防火墙。信息安全技术与应用第5页，共54页。

防火墙的原理防火墙的主要目的是为了隔离外部网（Internet）和内部网（Extranet），以保护网络的安全；从TCP/IP参考模型的网络结构来看，防火墙是建立在不同分层结构上的、具有一定安全级别和执行效率的安全通信技术；按照网络分层结构的实现思想，若防火墙所采用的通信协议栈其层次越低，所能检测到的通信资源越少，其安全级别也就越低，但其执行效率却较好。反之，如果防火墙所采用的通信协议栈其层次越高，所能检测到的通信资源越多，其安全级别也就越高，但其执行效率却较差。信息安全技术与应用第6页，共54页。

防火墙分类实现技术方式从实现技术方式的不同，防火墙可分为“分组过滤型”防火墙和“应用代理型”防火墙两大体系。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表。应用对象的不同分为企业级防火墙与个人防火墙；实现形态上的不同分为软件防火墙、硬件防火墙和芯片级放火墙。信息安全技术与应用第7页，共54页。

防火墙的组成及位置组成可以由一台路由器、一台PC或者一台主机构成，也可以是由多台主机构成的体系；位置一般将防火墙放置在网络的边界；有时在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护；信息安全技术与应用第8页，共54页。

防火墙的局限性防火墙不能防范不经过防火墙的攻击；防火墙不能防止来自内部的攻击。防火墙只能按照对其配置的规则进行有效的工作，一个过于随意的规则可能会减弱防火墙的功效；防火墙不能防止感染了病毒的软件或文件的传输；防火墙不能修复脆弱的管理措施或者设计有问题的安全策略；防火墙可以阻断攻击，但不能消灭攻击源；防火墙不能抵抗最新的未设置策略的攻击漏洞；防火墙的并发连接数限制容易导致拥塞或者溢出；防火墙对服务器合法开放的端口的攻击大多无法阻止；防火墙本身也会出现问题和受到攻击；信息安全技术与应用第9页，共54页。

防火墙的发展趋势设计新的防火墙的技术架构是未来发展方向。采用数据加密技术的，使安全地合法访问。混合使用分组过滤技术、代理服务技术和其他的一些新技术。新的IP协议IPv6的应用将对防火墙的建立与运行产生深刻的影响。分布式防火墙。信息安全技术与应用第10页，共54页。

4.2防火墙技术分组过滤技术代理服务器技术应用网关技术电路级网关技术状态监测技术网络地址转换技术信息安全技术与应用第11页，共54页。

分组过滤技术分组过滤（packetfilter）是所有防火墙中最核心的功能，进行分组过滤的标准是根据安全策略制定的；分组过滤型防火墙工作在TCP/IP网络参考模型的网络层和传输层；信息安全技术与应用第12页，共54页。

分组过滤技术分组过滤原理分组过滤通常安装在路由器上，并且大多数商用路由器都提供了分组过滤的功能。分组过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。通常情况下靠网络管理员在防火墙设备的ACL中设定。信息安全技术与应用第13页，共54页。

分组过滤技术分组过滤技术的特点因为CPU用来处理分组过滤的时间相对很少，且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。因为分组过滤技术不保留前