第5章防火墙技术祥解.ppt

按防火墙应用部署位置分类 将防火墙划分为 ： 边界防火墙 内部防火墙 2.1分布式防火墙 2.2嵌入式防火墙 2.3 个人防火墙 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * 对此问题最简单的回答是：防火墙只在已授权和未授权通信之间作出决断。 * 1.防火墙可以禁止内部用户经过网络发送机密信息，但用户可以将数据复制到磁盘上带出去。如果入侵者已经在防火墙内部，防火墙也是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件，这类攻击占了全部攻击的一半以上。 2.防火墙能够有效防范地通过它传输的信息，却不能防范不通过它传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 3.防火墙被用来防范已知的威胁，一个很好的防火墙设计方案可以防范某些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 4.防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病毒。无论防火墙多么安全，用户都需要一套防毒软件来防范病毒 * * 包过滤是在网络的出口(如路由器上)对通过的数据包进行检测，只有满足条件的数据包才允许通过，否则被抛弃。这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击。 * 在对包作出路由决定时，普通路由器只依据包的目的地址引导包，而包过滤路由器要依据路由器中的包过滤规则作出是否引导该包的决定。 包过滤路由器以包的目标地址、包的源地址和包的传输协议为依据，确定允许或不允许某些包在网上传输。 * 对包过滤规则的配置测试也麻烦； * 代理服务器的基本工作过程： 客户机访问外网服务器时： 先将请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由服务器传输给客户机。 外网向内部网络申请服务时：（内网直接受代理服务器提出的服务请求，拒绝外网的直接请求） 当外网向内网的某个节点申请某种服务（FTP，TELNET，WWW等）时，先由代理服务器接受，然后代理服务器根据其服务类型、服务内容、被服务的对象等因素，决定是否接受此项服务。如果接受，就由代理服务器向内望转发这项服务，并把结果反馈给申请者。 * * 包是网络上的信息流动单位，在网上传输的文件，一般在发送端被分为一串数据包，经过中间节点，最后到达目的地。然后这些包中的数据再被重组成原文件 每个数据包包括:数据部分+包头。包头中含有源地址和目的地址。 包过滤防火墙是最简单的防火墙，通常它只包括对源 IP 地址和目的 IP 地址及端口的检查。 包过滤防火墙通常是一个具有包过滤功能的路由器,即普通路由+IP过滤。因为路由器工作在网络层，因此包过滤防火墙又叫网络层防火墙。 包过滤就是根据包头信息来判断该包是否符合网络管理员设定的规则，以确定是否允许数据包通过。 包过滤是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息(路由器将其丢弃) 。 每个报头的主要信息是： IP协议类型(TCP、UDP，ICMP等)； IP源地址和目标地址； IP选择域的内容； TCP或UDP源端口号和目标端口号； ICMP消息类型。 过滤路由器与普通路由器的差别在于： 普通路由器只简单地查看每一数据包的目的地址，并选择数据包发往目标地址的最佳路径。当路由器知道如何发送数据包到目标地址，则发送该包；如果不知道如何发送数据包到目标地址，则返还数据包，通知源地址“数据包不能到达目标地址”。 过滤路由器将更严格地检查数据包，除了决定是否发送数据包到其目标外，还决定它是否应该发送。“应该”或“不应该”由站点的安全策略决定，并由过滤路由器强制执行。 放置在内部网与Internet之间的过滤路由器，不但要执行转发任务，而且它是唯一的保护系统；如果过滤路由器的安全保护失败，内部网将被暴露；如果一个服务没有提供安全的操作要求，或该服务由不安全的服务器提供，包过滤路由器则不能保护它。 包过滤系统判断是否传送包时，基本上不关心包的具体内容。 包过滤系统一般： 不允许任何用户从外部网用Telnet登录； 允许任何用户使用STMP往内部网发送电子邮件； 允许某台机器通过NNTP往内部网发新闻。 包过滤系统不能识别数据包中的用户信息，也不能识别包中的文件信息。 包过滤系统主要是使我们在一台机器上提供对整个网络的保护。即在该机器上设置了禁止项，所有机器上均可得到禁止。 包过滤方