secu7_防火墙技术.ppt

第7章 防火墙技术 防火墙一般是指在两个网络间执行访问控制策略的一个或一组系统，它将不可信网络同可信任网络隔离开。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。 防火墙性质 防火墙是不同网络之间信息流通过的唯一出入口，双向通信必须通过防火墙； 只允许本身安全策略授权的通信信息通过； 防火墙自身不会不会影响信息的流通。 7.1 防火墙功能 对内部网络进行划分，实现对重点网段的隔离，限制安全问题的扩散； 实现对内部网络的集中管理，可以强化网络安全策略； 是审计和记录Internet使用费用的一个最佳地点。提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 防止非法用户进入内部网络,防止内部信息的外泄； 可以利用NAT将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题； 防火墙通过IP通道(IPTunnels)构建VPN（虚拟专用网络）。 7.2 防火墙实现原理 两种基本的技术 ： 包过滤(Packet Filter)是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。 代理技术通过应用层的流量控制，并能在用户层和应用协议层间提供访问控制； 静态包过滤型防火墙 依据系统内事先设定的过滤逻辑，检查数据流中每个数据包包头信息后，并确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。 优点：是实现逻辑比较简单，对网络性能影响较小，有较强的透明性，它的工作与应用层无关，是最快的防火墙。 弱点：配置时需要对IP、TCP、UDP等各种协议比较了解；由于数据包的地址及端口号都在数据包的头部，容易被地址欺骗；不能提供应用层用户的鉴别服务；允许外部用户直接与内部主机相连。 2. 状态检测型防火墙 状态检测型防火墙不仅可以根据第三层参数决定有关信息传输是放行还是拒绝，还能够理解连接的当前状态（例如相关连接是处于建立阶段还是数据传输阶段）。 防火墙处理的所有数据传输都会被传送到一个状态检测引擎，其中汇集了相应的访问规则。 通过维护一个连接状态表，标识出通过防火墙的每条活动连接以及与之关联的第三层参数。 状态检测技术设计的防火墙既提供了静态包过滤防火墙的处理速度和灵活性，又兼具应用层网关理解应用程序状态的能力与高度的安全性。 很多优秀的防火墙产品都采用了状态监测体系结构，如Cisco的PIX、NetScreen防火墙 3.代理服务器防火墙 代理服务器通常也称作应用级防火墙或应用网关防火墙，应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。 所谓代理服务，即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的，这样便成功地实现了防火墙内外计算机系统的隔离。 应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点， 代理服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程度或者特定服务，同时，还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务，如超文本传输(HTTP)、远程文件传输(FTP)等。断掉所有的连接，由防火墙重新建立连接，可以使应用代理的防火墙具有极高的安全性。 它不能支持大规模的并发连接， 防火墙的核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。 4.复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体 5.四类防火墙的对比 包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。 状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。 防火墙的分类 I. 按组成结构分类 1. 三种类型防火墙 目前普遍应用的防火墙按组成结构可