《防火墙技术精选文档.ppt》由会员分享,可在线阅读,更多相关《防火墙技术精选文档.ppt(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙技术本讲稿第一页,共四十四页4.1.1 防火墙的基本概念 如果一个网络连接到Internet,其内部用户就可以访问外部世界并与之通信。同时,外部世界也可以访问该网络并与之交互。为保证系统安全,就需要在该网络和Internet之间插入一个中介系统,竖起一道安全屏障,以阻挡来自外部网络对本网络的威胁和入侵,这种中介系统叫做防火墙,或防火墙系统。Internet 内部网内部网防火墙防火墙路由路由器器本讲稿第二页,共四十四页v-路由器路由器-网卡网卡防火墙防火墙网卡网卡-内部网络内部网络防火墙一般有两个以上的网络卡,一个连到外部防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是
2、连到内部网络。当打开主,另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。对所有的网络通讯进行控制。4.1.1 防火墙的基本概念 本讲稿第三页,共四十四页在没有防火墙时,局域网内部的每个节点都暴露给在没有防火墙时,局域网内部的每个节点都暴露给Internet上的其它主机,此时内部网的安全性要由每个节点的坚固程上的其它主机,此时内部网的安全性要由每个节点的坚固程度来决定,且安全性等同于其中最薄弱的节点。使用防火墙度来决定,且
3、安全性等同于其中最薄弱的节点。使用防火墙后,防火墙会将内部网的安全性统一到它自身,网络安全性后,防火墙会将内部网的安全性统一到它自身,网络安全性在防火墙系统上得到加固,而不是分布在内部网的所有节点在防火墙系统上得到加固,而不是分布在内部网的所有节点上。上。防火墙把内部网与防火墙把内部网与Internet隔离,仅让安全、核准了的信息隔离,仅让安全、核准了的信息进入,而阻止对内部网构成威胁的数据,它防止黑客更改、进入,而阻止对内部网构成威胁的数据,它防止黑客更改、拷贝、毁坏重要信息;同时又不会妨碍人们对拷贝、毁坏重要信息;同时又不会妨碍人们对Internet的访的访问问4.1.1 防火墙的基本概念
4、 本讲稿第四页,共四十四页v防火墙能为管理人员提供对下列问题的答案:防火墙能为管理人员提供对下列问题的答案:v什么人在使用网络什么人在使用网络?v他们什么时间,使用了什么网络资源他们什么时间,使用了什么网络资源?v他们连接了什么站点他们连接了什么站点?v他们在网上做什么他们在网上做什么?v谁要上网谁要上网,但是没有成功但是没有成功?4.1.2 防火墙的作用 本讲稿第五页,共四十四页 4.1.2 防火墙的作用防火墙的作用主要体现在以下几个方面:防火墙的作用主要体现在以下几个方面:1防火墙是网络安全的屏障防火墙是网络安全的屏障2防火墙可以强化网络安全策略防火墙可以强化网络安全策略3网络存取和访问监
5、控审计网络存取和访问监控审计4防止内部信息的外泄防止内部信息的外泄5防火墙支持具有防火墙支持具有Internet服务特性的企业内服务特性的企业内部网络技术体系部网络技术体系VPN本讲稿第六页,共四十四页4.1.3 防火墙的优缺点 优点优点:防火墙能强化安全策略。防火墙能有效地记录防火墙能强化安全策略。防火墙能有效地记录Internet上的活动。防火墙是一个安全策略的检查站。上的活动。防火墙是一个安全策略的检查站。尽管防火墙有许多防范功能,但由于互连网的开放性,它尽管防火墙有许多防范功能,但由于互连网的开放性,它也有一些不如人意的地方,主要表现在以下几个方面。也有一些不如人意的地方,主要表现在以
6、下几个方面。1)防火墙不能防范绕过防火墙的攻击。)防火墙不能防范绕过防火墙的攻击。2)防火墙不能防止数据驱动式攻击。)防火墙不能防止数据驱动式攻击。3)防火墙不能防止感染了病毒的软件或文件的传输。)防火墙不能防止感染了病毒的软件或文件的传输。4)防火墙不能防止来自内部变节者和用户带来的威胁。)防火墙不能防止来自内部变节者和用户带来的威胁。本讲稿第七页,共四十四页4.1.4 防火墙的分类 防火墙有很多种分类方法:防火墙有很多种分类方法:v根据采用的技术不同,可分为包过滤防火墙和根据采用的技术不同,可分为包过滤防火墙和代理服务防火墙;代理服务防火墙;v按照应用对象的不同,可分为企业级防火墙与按照应
7、用对象的不同,可分为企业级防火墙与个人防火墙;个人防火墙;v依据实现的方法不同,又可分为软件防火墙、依据实现的方法不同,又可分为软件防火墙、硬件防火墙和专用防火墙。硬件防火墙和专用防火墙。本讲稿第八页,共四十四页4.1.4 防火墙的分类软件防火墙:软件防火墙:防火墙运行于特定的计算机上,一般来说这台计算机防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙像其它的软件产品就是整个网络的网关。软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙,需要网络管理人员对所工作的操作使用这类防火墙,需
8、要网络管理人员对所工作的操作系统平台比较熟悉。系统平台比较熟悉。本讲稿第九页,共四十四页4.1.4 防火墙的分类硬件防火墙硬件防火墙由由PC硬件、通用操作系统和防火墙软件组成。在定制硬件、通用操作系统和防火墙软件组成。在定制的的PC硬件上,采用通用硬件上,采用通用PC系统、系统、Flash盘、网卡组成盘、网卡组成的硬件平台上运行的硬件平台上运行Linux、FreeBSD、Solaris等经过等经过最小化安全处理后的操作系统及集成的防火墙软件。最小化安全处理后的操作系统及集成的防火墙软件。特点是开发成本低、性能实用、稳定性和扩展性较特点是开发成本低、性能实用、稳定性和扩展性较好,价格也低廉。由于
9、此类防火墙依赖操作系统内好,价格也低廉。由于此类防火墙依赖操作系统内核,因此会受到操作系统本身安全性影响,处理速度核,因此会受到操作系统本身安全性影响,处理速度也慢。也慢。本讲稿第十页,共四十四页4.2 防火墙技术 随着防火墙技术的不断发展,目前应用的防火墙随着防火墙技术的不断发展,目前应用的防火墙技术主要有包过滤技术、应用代理技术和状态检技术主要有包过滤技术、应用代理技术和状态检测技术等。测技术等。v包过滤技术包过滤技术v应用代理技术应用代理技术v状态检测技术状态检测技术v技术展望技术展望本讲稿第十一页,共四十四页1包过滤防火墙技术包过滤防火墙技术数据包过滤数据包过滤技术是防火墙为系统提供安
10、全保障的主要技术,它技术是防火墙为系统提供安全保障的主要技术,它依据系统内事先设定的过滤逻辑,通过设备对进出网络的数据依据系统内事先设定的过滤逻辑,通过设备对进出网络的数据流进行有选择的控制与操作。流进行有选择的控制与操作。数据包过滤技术作为防火墙的应用有数据包过滤技术作为防火墙的应用有3种。第种。第1种是路由设备种是路由设备在完成路由选择和数据转发的同时进行包过滤。第在完成路由选择和数据转发的同时进行包过滤。第2种是在工种是在工作站上使用软件进行包过滤。第作站上使用软件进行包过滤。第3种是在一种称为屏蔽路由器种是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式是第一种。的路由
11、设备上启动包过滤功能。目前较常用的方式是第一种。包过滤作用在网络层和传输层,以包过滤作用在网络层和传输层,以IP包信息为基础,对通过防包信息为基础,对通过防火墙的火墙的IP包的源包的源,目的地址,目的地址,TCP/UDP的端口标识符进行检查。的端口标识符进行检查。4.2 防火墙技术 本讲稿第十二页,共四十四页包过滤防火墙技术的优缺点:包过滤防火墙技术的优缺点:v1)包过滤技术不用改动客户机和主机上的应)包过滤技术不用改动客户机和主机上的应用程序用程序.v2)单独的,放置恰当的数据包过滤路由器有助于整)单独的,放置恰当的数据包过滤路由器有助于整个网络。个网络。v3)数据包过滤技术对用户没有特别的
12、要求。)数据包过滤技术对用户没有特别的要求。v4)大多数路由器都具有数据包过滤功能)大多数路由器都具有数据包过滤功能4.2 防火墙技术 本讲稿第十三页,共四十四页数据包过滤也存在一些缺陷:数据包过滤也存在一些缺陷:v1)在过滤过程中判别的只有网络层和传输层的有限信息。)在过滤过程中判别的只有网络层和传输层的有限信息。v2)在许多过滤器中,过滤规则的数目是有限制的,随着规则数目的增加,)在许多过滤器中,过滤规则的数目是有限制的,随着规则数目的增加,设备性能会受到很大地影响,导致数据包过滤器使用户难以用某些用户需设备性能会受到很大地影响,导致数据包过滤器使用户难以用某些用户需要的规则。要的规则。v
13、3)当前的过滤工具并不完善,或多或少的存在一些局限性。)当前的过滤工具并不完善,或多或少的存在一些局限性。v4)由于缺少上下文关联信息,数据包过滤路由器不能有效地)由于缺少上下文关联信息,数据包过滤路由器不能有效地过滤诸如过滤诸如UDP,RPC,FTP一类的协议。一类的协议。v5)数据包过滤技术对安全管理人员素质要求较高。)数据包过滤技术对安全管理人员素质要求较高。4.2 防火墙技术 本讲稿第十四页,共四十四页2代理防火墙技术代理防火墙技术代理防火墙的主要是代理服务器(代理防火墙的主要是代理服务器(ProxyServer)。)。代理服务器是指代理内部网络用户与外部网络服务器进代理服务器是指代理
14、内部网络用户与外部网络服务器进行信息交换的程序。它可以将内部用户的请求确认后送行信息交换的程序。它可以将内部用户的请求确认后送达外部服务器,同时将外部服务器的响应再送给用户。达外部服务器,同时将外部服务器的响应再送给用户。代理防火墙作用在应用层,用来提供应用层服务的控代理防火墙作用在应用层,用来提供应用层服务的控制,其特点是完全阻隔了网络通信流,通过对每种应用制,其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序。实现监视和控制应用层通信服务编制专门的代理程序。实现监视和控制应用层通信流的作用。所以代理防火墙又被称为应用代理或应用层流的作用。所以代理防火墙又被称为应用代理或应用
15、层网关型防火墙。网关型防火墙。4.2 防火墙技术 本讲稿第十五页,共四十四页本讲稿第十六页,共四十四页代理防火墙技术的优点:代理防火墙技术的优点:v1)代理能生成各项记录。)代理能生成各项记录。v2)代理易于配置。)代理易于配置。v3)代理能灵活,完全地控制进出流量,内容。)代理能灵活,完全地控制进出流量,内容。通过采取一定措施,按照一定的规则,用户通过采取一定措施,按照一定的规则,用户可以借助代理实现一整套的安全策略。可以借助代理实现一整套的安全策略。v4)代理能过滤数据内容。)代理能过滤数据内容。v5)代理可以方便地与其他安全手段集成。)代理可以方便地与其他安全手段集成。4.2 防火墙技术
16、 本讲稿第十七页,共四十四页代理防火墙技术缺点:代理防火墙技术缺点:v1)代理对用户不透明,多代理要求客户端做相应改动或安装定)代理对用户不透明,多代理要求客户端做相应改动或安装定制客户端软件,这给用户增加了不透明度制客户端软件,这给用户增加了不透明度v2)代理速度比路由器慢。)代理速度比路由器慢。v3)对于每项服务代理可能要求不同的服务器。)对于每项服务代理可能要求不同的服务器。v4)除了一些为代理而设的服务,代理服务器要求对客户或过程进行限制,每)除了一些为代理而设的服务,代理服务器要求对客户或过程进行限制,每一种限制都有不足之处,人们无法经常按他们自己的步骤使用快捷可用的工作一种限制都有
17、不足之处,人们无法经常按他们自己的步骤使用快捷可用的工作v5)代理服务器不能保证免受所有协议弱点的限制。)代理服务器不能保证免受所有协议弱点的限制。v6)代理不能改进底层协议的安全性。)代理不能改进底层协议的安全性。出于对更高安全性的要求,通常的防火墙系统是多种解决不同问题的技术的有出于对更高安全性的要求,通常的防火墙系统是多种解决不同问题的技术的有机组合。例如,把基于包过滤的方法与基于应用代理的方法结合起来。就形成机组合。例如,把基于包过滤的方法与基于应用代理的方法结合起来。就形成复合型防火墙产品。复合型防火墙产品。4.2 防火墙技术 本讲稿第十八页,共四十四页天网防火墙个人版简介:天网防火
18、墙个人版简介:天网防火墙个人版是个人电脑使用的网络安全程序,根据管理者天网防火墙个人版是个人电脑使用的网络安全程序,根据管理者设定的安全规则把守网络,提供强大的访问控制、信息过滤等功设定的安全规则把守网络,提供强大的访问控制、信息过滤等功能,帮你抵挡网络入侵和攻击,防止信息泄露。天网防火墙把网能,帮你抵挡网络入侵和攻击,防止信息泄露。天网防火墙把网络分为本地网和互联网,可针对来自不同网络的信息,来设置不络分为本地网和互联网,可针对来自不同网络的信息,来设置不同的安全方案,适合于任何方式上网的用户。同的安全方案,适合于任何方式上网的用户。v1)严密的实时监控)严密的实时监控v2)灵活的安全规则)
19、灵活的安全规则v3)应用程序规则设置)应用程序规则设置v4)详细的访问记录和完善的报警系统)详细的访问记录和完善的报警系统4.2 防火墙技术 本讲稿第十九页,共四十四页采用采用状态包检查状态包检查SPI技术的防火墙除了有一个过滤规技术的防火墙除了有一个过滤规则集外,还要对通过它的每一个连接都进行跟踪,汲取相则集外,还要对通过它的每一个连接都进行跟踪,汲取相关的通信和应用程序的状态信息,形成一个当前连接的关的通信和应用程序的状态信息,形成一个当前连接的状态列表。列表中至少包括源和目的状态列表。列表中至少包括源和目的IP地址、源和目的地址、源和目的端口号、端口号、TCP序列号信息,以及与那个特定会
20、话相关的序列号信息,以及与那个特定会话相关的每条每条TCP/UDP连接的附加标记。当一个会话经过防火连接的附加标记。当一个会话经过防火墙时,墙时,SPI防火墙把数据包与状态表、规则集进行对比,防火墙把数据包与状态表、规则集进行对比,只允许与状态表和规则集匹配的项通过。只允许与状态表和规则集匹配的项通过。4.2 防火墙技术 本讲稿第二十页,共四十四页4.2 防火墙技术例例1主机主机A试图访问试图访问,它必须通过路由器,而该路由器被配置成,它必须通过路由器,而该路由器被配置成状态包检查防火墙,下面是主机状态包检查防火墙,下面是主机A发出连接请求的工作过发出连接请求的工作过程,见图程,见图1)A发出
21、连接请求到发出连接请求到;2)请求到达路由器,路由器检查状态表;)请求到达路由器,路由器检查状态表;3)如果有连接存在,且状态表正常,允许数据包通过;)如果有连接存在,且状态表正常,允许数据包通过;4)如果无连接存在,创建状态项)如果无连接存在,创建状态项,将请求与防火墙规则集进行比较;将请求与防火墙规则集进行比较;5)如果规则允许内部主机可以访问)如果规则允许内部主机可以访问TCP/80。则允许数据包通过;。则允许数据包通过;6)数据包被)数据包被Web服务器接收;服务器接收;7)SYN/ACK信息回到路由器,路由器检查状态表;信息回到路由器,路由器检查状态表;8)状态表正确,允许数据包通过
22、,数据包到达最先发出请求的计算机;)状态表正确,允许数据包通过,数据包到达最先发出请求的计算机;9)如果规则不允许内部主机访问)如果规则不允许内部主机访问TCP/80。则禁止数据包通过,路由器发送。则禁止数据包通过,路由器发送ICMP(Internet控制消息协议)消息。控制消息协议)消息。本讲稿第二十一页,共四十四页以以太太网网步骤步骤(1)步骤步骤(8)步骤(步骤(3)步骤(步骤(2)步骤(步骤(4)步骤(步骤(6)步骤(步骤(5)步骤(步骤(7)步骤(步骤(9)Internet图图本讲稿第二十二页,共四十四页4.2 防火墙技术v优点:具有识别带有欺骗性源优点:具有识别带有欺骗性源IP地址
23、包的能力;检查的地址包的能力;检查的层面能够从网络层至应用层;具有详细记录通过的每个层面能够从网络层至应用层;具有详细记录通过的每个包的信息的能力,其中包括应用程序对包的请求,连接包的信息的能力,其中包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。的持续时间,内部和外部系统所做的连接请求等。v缺点:所有这些记录、测试和分析工作可能会造成网络缺点:所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。但是,硬或者是有大量的过滤网络通信的规则存在时
24、。但是,硬件速度越快,这个问题就越不易察觉。件速度越快,这个问题就越不易察觉。本讲稿第二十三页,共四十四页防火墙是保护网络安全的一个很好的选择,设置防防火墙是保护网络安全的一个很好的选择,设置防火墙、选择合适类型的防火墙并配置它,是用好防火火墙、选择合适类型的防火墙并配置它,是用好防火墙的三大关键任务。在网络设计时要考虑网络安全问墙的三大关键任务。在网络设计时要考虑网络安全问题,所以网络拓扑结构应该有网络安全拓扑内容。关题,所以网络拓扑结构应该有网络安全拓扑内容。关注网络安全拓扑设计对阻止网络攻击大有帮助。并且注网络安全拓扑设计对阻止网络攻击大有帮助。并且能够使不同设备的安全特性得到最有效的使
25、用。能够使不同设备的安全特性得到最有效的使用。4.3 防火墙的体系结构 本讲稿第二十四页,共四十四页4.3 防火墙的体系结构 出于对更高安全性的要求,通常的防火墙系统是多种解出于对更高安全性的要求,通常的防火墙系统是多种解决不同问题的技术的有机组合。例如,把基于包过滤的方法与决不同问题的技术的有机组合。例如,把基于包过滤的方法与基于应用代理的方法结合起来。就形成复合型防火墙产品。基于应用代理的方法结合起来。就形成复合型防火墙产品。最简单的防火墙是一台屏蔽路由器最简单的防火墙是一台屏蔽路由器(ScreeningRouter),此类,此类防火墙一旦屏蔽路由器被攻陷,就会对整个网络安全产生威防火墙一
26、旦屏蔽路由器被攻陷,就会对整个网络安全产生威胁,所以一般不会使用这种结构。实际上防火墙的体系结构多胁,所以一般不会使用这种结构。实际上防火墙的体系结构多种多样,目前使用的防火墙大都采用以下几种体系结构:种多样,目前使用的防火墙大都采用以下几种体系结构:v双重宿主主机结构。双重宿主主机结构。v屏蔽主机结构。屏蔽主机结构。v屏蔽子网结构。屏蔽子网结构。本讲稿第二十五页,共四十四页堡垒主机堡垒主机v“堡垒堡垒”一词来源于中世纪,指城堡中特别加固的一词来源于中世纪,指城堡中特别加固的部分,用于发现和抵御攻击者的进攻。部分,用于发现和抵御攻击者的进攻。v在网络中堡垒主机是经过加固,安装了防火墙软件,但没
27、在网络中堡垒主机是经过加固,安装了防火墙软件,但没有有IP转发功能的计算机。它对外界提供一些必要的转发功能的计算机。它对外界提供一些必要的服务,也可以被内部用户访问。通常它只提供一种服务,也可以被内部用户访问。通常它只提供一种服务,因为提供的服务越多,导致的安全隐患的可服务,因为提供的服务越多,导致的安全隐患的可能性也就越大。能性也就越大。4.3 防火墙的体系结构 本讲稿第二十六页,共四十四页有一块网卡的堡垒主机做防火墙,通常用于应用有一块网卡的堡垒主机做防火墙,通常用于应用级网关防火墙。将外部路由器配置成所有进来的数据级网关防火墙。将外部路由器配置成所有进来的数据均发送到堡垒主机上,同时将全
28、部内部客户端配置成均发送到堡垒主机上,同时将全部内部客户端配置成所有出去的数据都发送到这台堡垒主机上。它的主要所有出去的数据都发送到这台堡垒主机上。它的主要缺点是可以配置路由器使信息直接进入内部网络,而缺点是可以配置路由器使信息直接进入内部网络,而完全绕过堡垒主机;内部用户也可以配置他们的主完全绕过堡垒主机;内部用户也可以配置他们的主机,绕过堡垒主机把信息直接发送到路由器上。机,绕过堡垒主机把信息直接发送到路由器上。4.3 防火墙的体系结构 本讲稿第二十七页,共四十四页有两块网卡的堡垒主机做有两块网卡的堡垒主机做防火墙防火墙,两块网卡各自,两块网卡各自与内外部网络相连。但是内外部网络之间不能直
29、接通与内外部网络相连。但是内外部网络之间不能直接通信,内外部网络之间的数据流被双宿主机完全切断。信,内外部网络之间的数据流被双宿主机完全切断。它采用主机取代路由器执行安全控制功能。可以通过它采用主机取代路由器执行安全控制功能。可以通过运行代理软件或者让用户直接注册到其上来提供网络运行代理软件或者让用户直接注册到其上来提供网络控制。当一个黑客若要访问内部网络时,他必须首先控制。当一个黑客若要访问内部网络时,他必须首先攻破双宿主堡垒主机,这使得网络管理员有时间阻止攻破双宿主堡垒主机,这使得网络管理员有时间阻止对入侵做出反应。对入侵做出反应。4.3 防火墙的体系结构 本讲稿第二十八页,共四十四页堡垒
30、主机为堡垒主机为Internet提供公共服务,它不向提供公共服务,它不向内部网转发任何请求,而是自己处理请求。它内部网转发任何请求,而是自己处理请求。它只提供非常有限的服务,并且只开放有限的端只提供非常有限的服务,并且只开放有限的端口来满足这类服务。它需要更多的防御和保口来满足这类服务。它需要更多的防御和保护,并应切断对内部网的任何访问。护,并应切断对内部网的任何访问。4.3 防火墙的体系结构 本讲稿第二十九页,共四十四页双宿主主机结构双宿主主机结构双宿主主机是一台安装有有两块网卡的计算机,每块网卡有各双宿主主机是一台安装有有两块网卡的计算机,每块网卡有各自的自的IP地址,并分别与受保护网和外
31、部网相连。如果外部网络上地址,并分别与受保护网和外部网相连。如果外部网络上的计算机想与内部网络上的计算机进行通信,它就必须与双宿主的计算机想与内部网络上的计算机进行通信,它就必须与双宿主主机上与外部相连的主机上与外部相连的IP地址联系,代理服务器软件再通过另一块地址联系,代理服务器软件再通过另一块网卡与内部网络相连接。网卡与内部网络相连接。这种配置是用双宿主主机做防火墙,两这种配置是用双宿主主机做防火墙,两块网卡各自在主机上运行着防火墙软件,可以转发应用程序、提块网卡各自在主机上运行着防火墙软件,可以转发应用程序、提供服务等。供服务等。v优点:网关可将受保护网络与外界完全隔离;代理服务器可提供
32、日志,有助优点:网关可将受保护网络与外界完全隔离;代理服务器可提供日志,有助于网络管理员确认哪些主机可能已被入侵;同时,由于它本身是一台主机,于网络管理员确认哪些主机可能已被入侵;同时,由于它本身是一台主机,所以可用于诸如身份验证服务器及代理服务器,使其具有多种功能。所以可用于诸如身份验证服务器及代理服务器,使其具有多种功能。v缺点:双宿主主机的每项服务必须使用专门设计的代理服务器,即使缺点:双宿主主机的每项服务必须使用专门设计的代理服务器,即使较新的代理服务器能处理几种服务,也不能同时进行;另外,一旦双较新的代理服务器能处理几种服务,也不能同时进行;另外,一旦双宿主主机受到攻击,并使其只具有
33、路由功能,那么任何网上用户都可宿主主机受到攻击,并使其只具有路由功能,那么任何网上用户都可以随便访问内部网络了,这将严重损害网络的安全性。以随便访问内部网络了,这将严重损害网络的安全性。本讲稿第三十页,共四十四页双宿主主机双宿主主机本讲稿第三十一页,共四十四页屏蔽子网结构屏蔽子网结构v屏蔽子网系统结构是在屏蔽主机网关的基础上再加上一个屏蔽屏蔽子网系统结构是在屏蔽主机网关的基础上再加上一个屏蔽路由器,两个路由器放在子网的两端,三者形成了一个被称为路由器,两个路由器放在子网的两端,三者形成了一个被称为“非军事区非军事区”的子网。的子网。v这种方法在内部网络和外部网络之间建立了一个被隔离的子网。这种
34、方法在内部网络和外部网络之间建立了一个被隔离的子网。用两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。用两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信。外部屏蔽路由器和应用网关与在屏蔽主机网关屏蔽子网通信。外部屏蔽路由器和应用网关与在屏蔽主机网关中的功能相同,内部屏蔽路由器在应用网关和受保护网络之间中的功能相同,内部屏蔽路由器在应用网关和受保护网络之间提供附加保护。在屏蔽子网防火墙系统结构中,应用网关和屏提供附加保护。在屏蔽子网防火墙系统结构中,应用网关和屏蔽路
35、由器共同构成了整个防火墙的安全基础。蔽路由器共同构成了整个防火墙的安全基础。v屏蔽子网防火墙系统结构的不足是,它要求的设备和软件模块屏蔽子网防火墙系统结构的不足是,它要求的设备和软件模块是上述几种防火墙系统结构最多的,其配置也相当复杂和昂贵。是上述几种防火墙系统结构最多的,其配置也相当复杂和昂贵。本讲稿第三十二页,共四十四页本讲稿第三十三页,共四十四页屏蔽路由器屏蔽路由器v屏蔽路由器是防火墙最基本的构件,是最简单也是最常见的防屏蔽路由器是防火墙最基本的构件,是最简单也是最常见的防火墙。屏蔽路由器作为内外连接的唯一通道,要求所有的报文火墙。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在
36、此通过检查。路由器上可以安装基于都必须在此通过检查。路由器上可以安装基于IP层的报文过层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。过滤配置选项,但一般比较简单。v这种配置的优点是:容易实现、费用少,并且对用户的要这种配置的优点是:容易实现、费用少,并且对用户的要求较少,使用方便。其缺点是:求较少,使用方便。其缺点是:日志记录能力不强,规则表庞大、复杂,整个系统依靠单日志记录能力不强,规则表庞大、复杂,整个系统依靠单一的部件来进行保护,一旦被攻击,系统管理员很难确定一的部件来进行保护,一旦被攻击,系统管理
37、员很难确定系统是否正在被入侵或已经被入侵了。系统是否正在被入侵或已经被入侵了。本讲稿第三十四页,共四十四页v屏蔽路由器仅依靠包过滤规则过滤数据包,一旦有任何错误的配置,屏蔽路由器仅依靠包过滤规则过滤数据包,一旦有任何错误的配置,将会导致不期望的流量通过或者拒绝一些可接受的流量;将会导致不期望的流量通过或者拒绝一些可接受的流量;v只有一个单独的设备保护网络,如果一个黑客损害到这个路由器,只有一个单独的设备保护网络,如果一个黑客损害到这个路由器,他将能访问到内部网中的任何资源;他将能访问到内部网中的任何资源;v屏蔽路由器不能隐藏内部网的配置,任何能访问屏蔽路由器的人屏蔽路由器不能隐藏内部网的配置,
38、任何能访问屏蔽路由器的人都能轻松地看到内部网的布局和结构;都能轻松地看到内部网的布局和结构;v屏蔽路由器没有较好的监视和日志功能、没有报警功能,缺乏用户级身份屏蔽路由器没有较好的监视和日志功能、没有报警功能,缺乏用户级身份认证,如果一个安全侵犯事件发生,对于这种潜在的威胁它不能通知网络认证,如果一个安全侵犯事件发生,对于这种潜在的威胁它不能通知网络管理员。管理员。本讲稿第三十五页,共四十四页组合体系结构组合体系结构建造防火墙时,一般很少采用单一的技术,通常采用解建造防火墙时,一般很少采用单一的技术,通常采用解决不同问题的多种技术的组合。决不同问题的多种技术的组合。1)使用多堡垒主机)使用多堡垒
39、主机2)合并内部路由器与外部路由器)合并内部路由器与外部路由器3)合并堡垒主机与外部路由器)合并堡垒主机与外部路由器4)合并堡垒主机与内部路由器)合并堡垒主机与内部路由器5)使用多台外部路由器)使用多台外部路由器6)使用多个周边网络)使用多个周边网络本讲稿第三十六页,共四十四页防火墙技术发展到现在,其争的焦点主要是在防火墙技术发展到现在,其争的焦点主要是在以下四个方面:以下四个方面:v防火墙的管理防火墙的管理网络安全的关键网络安全的关键v防火墙的功能防火墙的功能防火墙应用的基础防火墙应用的基础v防火墙的性能防火墙的性能提高网络传输效率的条件提高网络传输效率的条件v防火墙的抗攻击能力防火墙的抗攻
40、击能力网络安全的保证网络安全的保证本讲稿第三十七页,共四十四页防火墙的局限性防火墙的局限性1)不能防范不经过防火墙的攻击)不能防范不经过防火墙的攻击2)不能防止来自内部变节者或不经心的用户带来的威胁;也不能解决进)不能防止来自内部变节者或不经心的用户带来的威胁;也不能解决进入防火墙的数据带来的所有安全问题入防火墙的数据带来的所有安全问题3)只能按照对其配置的规则进行有效的工作)只能按照对其配置的规则进行有效的工作4)不能防止感染了病毒的软件或文件的传输)不能防止感染了病毒的软件或文件的传输5)不能修复脆弱的管理措施或者设计有问题的安全策略)不能修复脆弱的管理措施或者设计有问题的安全策略6)可以
41、阻断攻击,但不能消灭攻击源)可以阻断攻击,但不能消灭攻击源7)不能抵抗最新的未设置策略的攻击漏洞)不能抵抗最新的未设置策略的攻击漏洞8)在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整)在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈个网络的瓶颈9)防火墙对服务器合法开放的端口的攻击大多无法阻止)防火墙对服务器合法开放的端口的攻击大多无法阻止10)防火墙本身也会出现问题和受到攻击)防火墙本身也会出现问题和受到攻击本讲稿第三十八页,共四十四页4.4 选择防火墙的注意事项 目前防火墙产品很多,要选择合适的防火墙,需要目前防火墙产品很多,要选择合适的防火墙,需要遵循一定的
42、原则,同时注意有关事项选型防火墙的基本遵循一定的原则,同时注意有关事项选型防火墙的基本原则。原则。v1防火墙自身的安全性防火墙自身的安全性v2应考虑的特殊需求应考虑的特殊需求v3防火墙系统的稳定性和可靠性防火墙系统的稳定性和可靠性v4防火墙的性能防火墙的性能v5防火墙配置的方便性防火墙配置的方便性本讲稿第三十九页,共四十四页典型防火墙简介vCheckpoint FireWall-1vCisco PIX Firewallv东软NetEye本讲稿第四十页,共四十四页Checkpoint FireWall-1vCheckPoint软件技术有限公司成立于软件技术有限公司成立于1993年,该公司是年,该
43、公司是Internet安全领域的全球领先企业。安全领域的全球领先企业。CheckPoint已经成为防火墙软件的代名已经成为防火墙软件的代名词,它推出并持有专利的状态监测技术是网络安全性技术的事实标准。词,它推出并持有专利的状态监测技术是网络安全性技术的事实标准。vCheckPoint公司推出的公司推出的Firewall-1共支持两个平台:一个共支持两个平台:一个是是UNIX平台;另一个是平台;另一个是WindowsNT平台。平台。Firewall-1具有具有一种很特别的结构,称为多层次状态监视结构。这种结构让一种很特别的结构,称为多层次状态监视结构。这种结构让Firewall-1可以对复杂的网
44、络应用软件进行快速支持。可以对复杂的网络应用软件进行快速支持。本讲稿第四十一页,共四十四页vFirewall-1提供了最佳权限控制、最佳综合性能及简单明提供了最佳权限控制、最佳综合性能及简单明了的管理。除了了的管理。除了NAT外,它具有用户认证功能。对于外,它具有用户认证功能。对于FTP,可以根据,可以根据put、set以及文件名加以限制。对于以及文件名加以限制。对于SMTP,它可以丢弃超过一定大小的邮件,对邮件进行,它可以丢弃超过一定大小的邮件,对邮件进行病毒扫描,以及改写邮件头信息。病毒扫描,以及改写邮件头信息。Firewall-1还可以防止还可以防止有害有害SMTP命令(如命令(如deb
45、ug)的执行。)的执行。vFirewall-1的用户界面是网络控制中心,定义和实施复杂的用户界面是网络控制中心,定义和实施复杂的安全规则非常容易。每个规则还有一个域用于文档记录,的安全规则非常容易。每个规则还有一个域用于文档记录,如为什么制定这条规则,何时制定及由谁制定。如为什么制定这条规则,何时制定及由谁制定。Checkpoint FireWall-1本讲稿第四十二页,共四十四页Cisco PIX Firewall 1984年成立于斯坦福大学的思科系统公司,年成立于斯坦福大学的思科系统公司,Cisco公司(公司(CiscoSystems,Inc.)是全球领先是全球领先的互联网设备供应商。的互
46、联网设备供应商。1995年思科兼并了一个年思科兼并了一个利用状态检测为计算机网络提供安全保障的生产利用状态检测为计算机网络提供安全保障的生产即插即用的硬件设备厂商即插即用的硬件设备厂商NTI(NetworkTranslations,Inc.)。)。6年后,年后,PIX成为防火墙成为防火墙市场的领导者。市场的领导者。本讲稿第四十三页,共四十四页东软NetEye 于于1991年在东北大学创立的东软集团是年在东北大学创立的东软集团是中国领先的软件与解决方案提供商。东软中国领先的软件与解决方案提供商。东软NetEye防火墙基于专门的硬件平台,使用专防火墙基于专门的硬件平台,使用专有的有的ASIC芯片和专有的操作系统,基于状态芯片和专有的操作系统,基于状态包过滤的包过滤的“流过滤流过滤”体系结构。围绕流过滤体系结构。围绕流过滤平台,东软构建了网络安全响应小组、应用平台,东软构建了网络安全响应小组、应用升级包开发小组、网络安全实验室,不仅带升级包开发小组、网络安全实验室,不仅带给用户高性能的应用层保护,还包括新应用给用户高性能的应用层保护,还包括新应用的及时支持,特殊应用的定制开发,安全攻的及时支持,特殊应用的定制开发,安全攻击事件的及时响应等。击事件的及时响应等。本讲稿第四十四页,共四十四页