网络管理与信息安全67436.pptVIP

8.2 防火墙技术 (Firewall) 8.2.1 防火墙主要技术 8.2.2 防火墙分类 8.2.3 防火墙的选择标准和发展方向 8.2.1 防火墙主要技术 防火墙：是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障，由一个或一组系统(设备)组成,用以实施网络间的访问控制策略。防火墙将受保护的网络(内部网)和未受保护的网络连接在一起,或者支持三区网络(DMZ非武装网络)。狭义的防火墙：指安装了防火墙软件的主机或路由器系统。广义的防火墙：还包括整个网络的安全策略和安全行为。 防火墙技术包括： 包过滤技术 网络地址翻译 应用级代理 8.2.3 防火墙主要技术 包/分组过滤技术 包过滤技术（Packet Filtering）是在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则又称为访问控制表。这种防火墙通常安装在路由器上，如图8.3所示。 图8.3　包过滤技术 这种技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。 8.2.3 防火墙主要技术 包过滤技术包括两种基本类型：无状态检查的包过滤和有状态检查的包过滤，其区别在于后者通过记住防火墙的所有通信状态，并根据状态信息来过滤整个通信流，而不仅仅是包。 有许多方法可绕过包过滤器进入Internet ，包过滤技术存在以下缺陷： TCP只能在第0个分段中被过滤。 特洛伊木马可以使用NAT来使包过滤器失效。 许多包过滤器允许1024以上的端口通过。 “纯”包过滤器的防火墙不能完全保证内部网的安全，而必须与代理服务器和网络地址翻译结合起来才能解决问题。 8.2.1 防火墙主要技术 2. 网络地址翻译 网络地址翻译（NAT，Network Address Translation）最初的设计目的是增加在专用网络中可使用的IP地址数，但现在则用于屏蔽内部主机。 NAT通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址，实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能，使外部主机无法探测到它们。 NAT实质上是一个基本代理：一个主机充当代理，代表内部所有主机发出请求，从而将内部主机的身份从公用网上隐藏起来了。 8.2.1 防火墙主要技术 按普及程度和可用性顺序，NAT防火墙最基本的翻译模式包括： 静态翻译。在这种模式中，一个指定的内部网络源有一个从改变的固定翻译表。 动态翻译。在这种模式中，为了隐藏内部主机的身份或扩展内部网的地址空间，一个大的Internet客户群共享单一一个或一组小的Internet IP地址。 负载平衡翻译。在这种模式中，一个IP地址和端口被翻译为同等配置的多个服务器的一个集中处，这样一个公共地址可以为许多服务器服务。 网络冗余翻译。在这种模式中，多个Internet连接被附加在一个NAT防火墙上，从而防火墙根据负载和可用性对这些连接进行选择和使用。 8.2.1 防火墙主要技术 3. 应用级代理 代理（Proxy）过滤是在应用层上使用URL来完成，是基于报文内容自身的信息进行报文过滤。代理服务器通过侦听网络内部客户的服务请求，检查并验证其合法性，若合法，它将作为一台客户机一样向真正的服务器发出请求并取回所需信息，最后再转发给客户。如果不合法，报文将被丢弃，同时向外部客户发送一份错误的报文。代理的工作流程如图8.4所示。 图8.4　一个服务代理 8.2.3 防火墙主要技术 应用代理技术的优缺点： 代理隐藏了私有客户，不让它们暴露给外界。但客户必须使用代理才能工作，且不能被设置为网络透明工作。 代理能阻断危险的URL，但阻断URL也容易被消除。 代理能在危险的内容传送给客户之前过滤掉它们，但代理无法保护操作系统。 代理能检查返回内容的一致性。但大多数一致性检查都是在发现有被利用的弱点后才有效。 代理能消除在网络之间的传输层路由。但阻断路由功能通常使用得不充分 代理提供了单点的访问、控制和日志记录功能。 代理服务器有消除冗余访问，平衡内部多个服务器负载的性能优化功能，但易形成服务瓶颈。 8.2.2 防火墙分类 按技术分类 根据防火墙采用的技术，防火墙分为包过滤型、代理型和监测型。 包过滤型 防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用，实现成本。其缺点只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意入侵。 8.2.2 防火墙分类 代理型 代理型防火墙也称为代理服务器