第9章计算机网络安全.pptVIP

计算机网络技术与应用 4）设置允许远程拨入 计算机网络技术与应用 4．配置VPN客户机 1）打开网络和拨号连接窗口 计算机网络技术与应用 2）选择网络类型 计算机网络技术与应用 3）设置网络连接 计算机网络技术与应用 4）设置连接名称 计算机网络技术与应用 5）输入VPN服务器的IP地址 计算机网络技术与应用 6）设置连接共享 9.4 防火墙技术及其应用 9.4.1 防火墙的概念 9.4.2 数据包过滤型防火墙 9.4.3 应用级网关 9.4.4 防火墙的实现 计算机网络技术与应用 9.4.1 防火墙的概念 计算机网络技术与应用 1．防火墙的概念 “防火墙”是一种计算机硬件和软件的组合，是在网络之间执行安全策略的系统，它布置在内部网络与外部网络之间，通过检查所有进出内部网络的数据包，分析数据包的合法性，判断是否会对网络安全构成威胁，在外部网与内部网之间建立起一个安全屏障，从而保护内部网免受非法用户的侵入 图9-3 防火墙的位置 内部网络 外部网络 计算机网络技术与应用 防火墙的主要功能包括： （1）检查所有从外部网络送入内部网络的数据包； （2）检查所有从内部网络流出到外部网络的数据包； （3）执行安全策略，限制所有不符合安全策略要求的数据包通过； （4）具有防攻击能力，保证自身的安全性; （5）记录通过防火墙的信息内容和活动； 计算机网络技术与应用 2．防火墙实现技术 防火墙实现技术一般分为两类： （1）网络级防火墙。主要是用来防止内部网络出现外来非法入侵。属于这类的技术有分组过滤路由器和授权服务器。 （2）应用级防火墙。从限制用户对应用程序的访问来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。 9.4.2 数据包过滤型防火墙 计算机网络技术与应用 1．数据包过滤路由器 这种防火墙实现在路由器上，在路由器上运行防火墙软件，对通过的IP分组，检查他们的IP分组头，检查内容可以是报文类型、源IP地址、目的IP地址、源端口号、目的端口号等，再根据事先确定好的规则，决定哪些分组允许通过，哪些分组禁止通过。 计算机网络技术与应用 1）设置分组过滤规则 2）检查通过路由器的分组 在路由器上先设置分组过滤规则，该规则可以用源IP地址、目的IP地址、源端口、目的端口、协议类型等参数，根据数据包进出方向来设置是允许通过还是阻止通过； 当有IP分组进出数据包过滤路由器时，路由器从数据包中提取相关参数，如IP地址、端口号、协议类型等，然后对照规则表中的规则逐条检查，符合转发规则的分组可以通过，符合阻止规则的分组将被丢弃。如果即不符合转发规则，也不符合阻止规则的就执行默认规则。 计算机网络技术与应用 防火墙 访问控制规则表 图9-4 数据包过滤型防火墙的原理 进入内部网络 访问外部网络 内部网络 外部网络 规则是按顺序执行的，如果符合了列在前面的某项规则，检查工作就停止，后面的规则就不会得到执行，正因为如此，在设置访问控制规则时，规则的次序非常重要，如果次序安排不当，可能会使某些规则的功能丧失。 计算机网络技术与应用 2．数据包过滤规则举例 设内部网络有WWW服务器，其IP地址是，TCP端口80，该服务器允许所有外部用户访问；内部网有电子邮件服务器，其IP地址，TCP端口25，允许IP地址为的外部用户访问，阻止主机ABC进入内部网络；默认规则：阻止。根据上上述要求，配置访问控制规则表如表9-1。 规则号 方向 动作 源主机地址 源端口 目的主机地址 目的端口 协议 1 进入 阻止 ABC * * * * 2 进入 允许 * 25 TCP 3 输出 允许 * * * 80 TCP 4 输出 允许 * * * 25 TCP 5 进入 允许 * * 80 TCP 6 进入 阻止 * * * * * 7 输出 阻止 * * * * * 计算机网络技术与应用 3．数据包过滤型防火墙的特点 （1）允许外部网络与内部网络之间直接交换数据包； （2）网络安全性依赖于“地址过滤”，非常脆弱； （3）不能甄别非法用户，利用IP地址欺骗等手段可以突破防火墙； （4）访问控制规则容易配错。 9.4.3 应用级网关 计算机网络技术与应用 应用级网关在被保护网络的主机与外部主机之间过滤和传递数据，防止内部网络主机与外部主机间直接建立联系。 应用级网关有两种类型 电路型网关， 代理服务器型网关。 计算机网络技术与应用 电路型网关 身份认证 Y转发 N丢弃 内部网络 外部网络 外部用户访问请求 访问请求转发主机 响应 响应 图9-5 电路型防火墙 电路型网关可以在在应用层过滤进出内部网络特定服务的用户请求与响应，它在应用层“转发”合法的应用请求，丢弃非法请求的数据包。 1．电路型网关 计算机网络