计算机网络教程第9章..pptVIP

第9章 防火墙技术 9.1 防火墙简介 9.2 防火墙的类型 9.3 防火墙配置 9.4 防火墙系统 9.5 防火墙的选购和使用 9.6 防火墙产品介绍 9.7 小结 个人和企业的内部网接入Internet，方便了个人、企业内部之间以及企业与外部的信息交流，不仅为了提高工作效率，也为企业的发展提供了机遇。然而，与Internet这样一个世界范围的开放网络连接，在获得利益的同时也要付出安全性代价。一旦企业内部网连入Internet，就意味着Internet上的每个用户都有可能访问企业网。如果没有一个安全保护措施和严密的企业网络信息管理制度，黑客们可能会在毫无察觉的情况下进入企业网，非法访问企业的资源，给企业造成巨额的经济损失。而防火墙就是保护企业内部网中信息安全的一项重要措施。 9.1 防火墙简介 9.1.1 防火墙的概念 在计算机网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许“同意”的人和数据进入内部网络，同时将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问内部网络。它能增强机构内部网络的安全性。防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。 防火墙可以是具有以下特征的计算机硬件或软件: (1) 由内到外和由外到内的所有访问都必须通过它； (2) 只有本地安全策略所定义的合法访问才被允许通过它； (3) 防火墙本身无法被穿透。 通常意义上讲的硬防火墙为硬件防火墙，采用电路级设计，通常使算法设计专用芯片，效率最高，但价格较贵，一般小型企业和个人很难实现；软件防火墙是通过软件的方式来达到，价格便宜，但这类防火墙只能通过一定的规则来达到限制一些非用户访问内部网的目的。 9.1.2 防火墙的功能特点 1. 防火墙是网络安全的屏障 防火墙能过滤那些不安全的服务，极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。 2. 存取控制 指依据管理者所设定的存取控制，决定网络信息的许可或者拒绝，存取控制的条件包括资料封包的来源地址、目标地址、连接的网络服务协议种类以及使用者的身份等。存取控制甚至可以做到控制网络服务的某些特定指令是否允许其执行。 3. 控制对特殊站点的访问 防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问而有些则要被保护起来，防止不必要的访问。 4. 集中化的安全管理 如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理。 5. 对网络访问进行记录和统计 如果所有对Internet的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。 6. 防止内部信息的外泄 通过防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透露内部细节如Finger，DNS等服务。 9.1.3 防火墙的安全性设计 1. 用户认证 对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。 2. 域名服务 防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自Internet主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以分辨Internet上的主机。 3. 邮件处理 电子邮件是内部网络到Internet连通的一个主要业务。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通，再与Internet上用户连通。 4. IP层的安全性 IP层的安全包括两个功能: 认证和必威体育官网网址。 5. 防火墙的IP安全性 防火墙可以提供必威体育官网网址性和完整性。一个协作网可能由两个或更多内部网通过Internet相互连接而成。这些网之间的数据必威体育官网网址性和完整性可以通过IP的安全机制实现。 9.2 防火墙的类型 9.2.1 包过滤防火墙 包过滤防火墙是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查。 1. 包过滤防火墙的工作原理 采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规