网络安全技术 第2版 作者 陈卓 第6章.pptVIP

《网络安全技术》第2版 第6章 防火墙技术 6.1 防火墙的概念 6.2 防火墙的技术类型 6.3 防火墙的分类 6.4 防火墙的体系结构 6.5 防火墙的功能与缺陷 6.6 硬件防火墙 6.7 防火墙的应用 6.1 什么是防火墙 6.1 什么是防火墙 6.1 什么是防火墙 6.1 什么是防火墙 防火墙是一个分离器——分割了信任域与非信任域，是一个限制器——限制了非信任域对信任域的访问，也是一个分析器——分析那些访问是安全的，哪些访问是不安全的。它有效地监控了内部网和Internet之间的任何活动，较好地保障了内部网络的安全，并且不妨碍内网用户对风险区域的访问 6.2 防火墙的技术类型 6.2 防火墙的技术类型 包过滤(Packet filtering)技术 “包过滤”是防火墙技术中最早也是最常用的一种技术，它与网络协议紧密相关。通过检查数据包中第三层及第四层相关信息实现对包的放行或拦截。 包过滤技术一般又分为静态包过滤和动态包过滤（状态包过滤）两种。 6.2 防火墙的技术类型 静态包过滤型防火墙 依据系统事先设定好的过滤规则集检查数据流中的每个数据包的包头信息，如数据包的源或目标IP地址、封装协议、TCP／UDP目标端口等，在规则集中定义了各种规则来表明是否同意或拒绝包的通过，包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。 6.2 防火墙的技术类型 举例 6.2 防火墙的技术类型 动态包过滤类型防火墙 动态包过滤（Dynamic Packet Filter）是在传统静态包过滤技术基础之上发展起来的一项过滤技术，动态包过滤在静态包过滤技术的基础上采用基于上下文的动态包过滤模块的检查，增强了安全性。 与传统静态包过滤技术只检查单个、孤立的数据包不同，动态包过滤试图将数据包的上下文联系起来，建立一种基于状态的包过滤机制。对于新建的应用连接，防火墙检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，这些相关信息构成一个状态表。这样，当一个新的数据包到达，如果属于已经建立的连接，则检查状态表，参考数据流上下文决定当前数据包通过与否；如果是新建连接，则检查静态规则表。 6.2 防火墙的技术类型 动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷，使得防火墙的安全控制力度更为细致 6.2 防火墙的技术类型 包过滤技术的优缺点 优点 简单，较强的透明性（对客户端） 过滤路由器速度快，效率高。 缺点： 配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题； 过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足； 由于数据包的地址及端口号都在数据包的头部，不能彻底防止地址欺骗； 允许外部客户和内部主机的直接连接； 不提供用户的鉴别机制。 6.2 防火墙的技术类型 应用代理技术 应用代理型防火墙工作在应用层，它的功能就是代理网络用户去取得网络信息，又被称为代理服务器（Proxy Server），形象的说它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接Internet站点取得网络信息时，是直接连到目的站点服务器，然后由目的站点服务器把信息传送回来。而代理服务器是介于浏览器和Web服务器之间的另一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，该请求会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送到浏览器 6.2 防火墙的技术类型 6.2 防火墙的技术类型 代理服务并不是用一张简单的访问控制列表来说明哪些报文或会话可以通过，哪些不允许通过，而是运行一个接受连接的程序。在确认之前，先要求用户输入口令，以进行严格的用户认证，并必须为每个应用，如Telnet，FTP等配上代理程序。因为代理服务型防火墙能够理解应用层上的协议，能够做一些复杂的访问控制和注册等，所以安全性比包过滤型防火墙要高 6.2 防火墙的技术类型 在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火墙和第二代自适应代理防火墙。 应用网关型代理防火墙 应用网关型代理防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。