626-第五章 防火墙技术和VPN.pptVIP

第五章 防火墙技术和VPN 防火墙技术 防火墙技术概述 防火墙的分类 防火墙的主要技术 防火墙的体系结构 防火墙的配置和访问控制策略 防火墙的选择 防火墙的发展 防火墙实例 天网防火墙的使用 第一节 防火墙技术概述 什么是防火墙 防火墙的功能 防火墙的缺点 什么是防火墙 防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上说，它遵从的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 什么是防火墙 在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控内部网和Internet之间的任何活动，保证内部网络的安全。 从物理上讲，防火墙通常是一组硬件设备（路由器、主机）和软件的多种组合。 什么是防火墙 任何一个好的防火墙必须具备以下三个特性： 所有在内部网络和外部网络之间传输的数据必须通过防火墙； 只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。 防火墙本身不受各种攻击的影响。 防火墙的功能 控制不安全的服务，保护易受攻击的服务。 站点访问控制 。 集中式的安全保护 。 防止内部信息外漏 。 网络连接的日志记录和使用统计 。 防火墙的缺点 不能防范恶意的知情者 防火墙不能防范不通过它的连接 防火墙不能防备完全的威胁 防火墙不能防范病毒 防火墙的分类 按产品形态划分 按适用范围划分 按应用技术划分 按网络接口划分 按产品形态划分 软件防火墙 软硬一体化防火墙 硬件防火墙 按适用范围划分 网络防火墙 主机防火墙 按应用技术划分 包过滤防火墙 代理防火墙 复合防火墙 包过滤防火墙 作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。 包过滤防火墙 包过滤防火墙 优点： 不用改动应用程序。 数据包过滤对用户透明。 过滤路由器速度快，效率高。 缺点： 不能彻底防止地址欺骗。 不能执行基于用户的安全策略。 代理防火墙 代理防火墙 它作用在应用层，其特点是完全 “ 阻隔 ” 了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。代理服务器作为内部网络客户端的服务器，拦截住所有请求，并向代理客户转发；代理客户负责代表内部客户端向外部服务器发出请求，并将从外部服务器获得的响应向代理服务器转发；最后，代理服务器将获得的响应转发给内部真实的客户端。 代理服务器有应用层代理防火墙和电路层代理防火墙两种。 代理防火墙 优点： 内外网络不直接接触，这种防火墙的安全性好。 可以灵活地控制进出的流量和内容。 可以生成各种类型的记录，方便审计和进行日志分析。 代理易于配置。 缺点： 代理速度较路由器慢，不太适用于高速网之间的应用； 代理对用户不透明； 对于每项服务代理可能要求不同的服务器。 复合防火墙 结合使用包过滤防火墙和代理防火墙，以取长补短。 复合防火墙主要有屏蔽主机防火墙体系结构和屏蔽子网防火墙体系结构。 按网络接口分 千兆防火墙 百兆防火墙 十兆防火墙 第三节 防火墙的主要技术 包过滤技术 代理服务技术 多级的过滤技术 网络地址转换技术（NAT） Internet网关技术 安全服务器网络（SSN） 审计和告警 包过滤技术 包过滤技术是防火墙最基本的功能，现在防火墙已经由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态监测等。 包过滤技术包括，静态包过滤和动态包过滤。 代理服务技术 在应用网关上运行应用代理程序，一方面代替原来的客户建立连接，另一方面代替原来的客户程序，与服务器建立连接，使得用户可以通过应用网关安全地使用Internet服务，而对于非法用户的请求将不予理睬。 多级的过滤技术 防火墙采用包、应用网关、电路网关的三级过滤措施。在包过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的执行严格的控制。 网络地址转换技术（NAT） NAT是一种用于把内部IP地址转换成临时的、外部的IP地址的技术。当不同的内部网络向外连接时使用相同的IP地址，而内部网络互相通信时则使用内部IP地址。 Internet网关技术 由于防火墙直接串接在网络之中，它必须支持用户在Internet上的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger、Mai