防火墙技术-精品课件PPT.ppt

访问控制与防火墙技术;防火墙的概念、原理 ; 防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界通道(Internet)的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。 防火墙是一种必不可少的安全增强点，它将不可信网络同可信任网络隔离开(图8-1)。防火墙筛选两个网络间所有的连接，决定哪些传输应该被允许哪些应该被禁止，这取决于网络制定的某一形式的安全策略。 ;图8-1 防火墙示意图 ; 防火墙是放置在两个网络之间的一些组件，这组组件具有下列性质： (1) 双向通信必须通过防火墙； (2) 防火墙本身不会影响信息的流通； (3) 只允许本身安全策略授权的通信信息通过。; 防火墙主要提供以下四种服务： (1) 服务控制：确定可以访问的网络服务类型。 (2) 方向控制：特定服务的方向流控制。 (3) 用户控制：内部用户、外部用户所需的某种形式的认证机制。 (4) 行为控制：控制如何使用某种特定的服务。;8.1 防火墙技术; 8.1.1 包过滤防火墙 (TCP、IP) 包是网络上信息流动的基本单位，它由数据负载和协议头两个部分组成。包过滤作为最早、最简单的防火墙技术，正是基于协议头的内容进行过滤的。术语“包过滤”通过将每一输入/输出包中发现的信息同访问控制规则相比较来决定阻塞或放行包。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。如果包在这一测试中失败，将在防火墙处被丢弃。包过滤防火墙如图8-2所示。; 图8-2 包过滤防火墙 ; 包过滤路由器与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”守卫快速的察看包的住户地址是否正确，检查卡车的标识(证件)以确保它也是正确的，接着送卡车通过关卡传递包。虽然这种方法比没有关卡更安全，但是它还是比较容易通过并且会使整个内部网络暴露于危险之中。; 包过滤防火墙是最快的防火墙，这是因为它们的???作处于网络层并且只是粗略检查特定的连接的合法性。例如HTTP通常为Web服务连接使用80号端口。如果公司的安全策略允许内部职员访问网站，包过滤防火墙可能设置允许所有的连接通过80号这一缺省端口。不幸的是，像这样的假设会造成实质上的安全危机。当包过滤防火墙假设来自80端口的传输通常是标准Web服务连接时，它对于应用层实际所发生的事件的能见度为零。任何意识到这一缺陷的人都可通过在80端口上绑定其它没有被认证的服务，从而进入私有网络而不会被阻塞。 ; 许多安全专家也批评包过滤防火墙，因为端点之间可以通过防火墙建立直接连接。一旦防火墙允许某一连接，就会允许外部源直接连接到防火墙后的目标，从而潜在的暴露了内部网络，使之容易遭到攻击。; 8.1.2 应用代理防火墙(Application Layer) 在包过滤防火墙出现不久，许多安全专家开始寻找更好的防火墙安全机制。他们相信真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据。为测试这一理论，DARPA (Defense Advanced Research Projects Agency)同在华盛顿享有较高声望的以可信信息系统著称的高级安全研究机构签订了合同，以开发安全的“应用级代理”防火墙。这一研究最终造就了Gauntlet(/)，它是第一代为DARPA和美国国防部的最高标准设计的商业化应用级代理防火墙。; 应用级代理防火墙模式提供了十分先进的安全控制机制，如图8-3所示。它通过在协议栈的最高层(应用层)检查每一个包从而提供足够的应用级连接信息。因为在应用层中它有足够的能见度，应用级代理防火墙能很容易看见前面提及的每一个连接的细节从而实现各种安全策略。例如这种防火墙很容易识别重要的应用程序命令，像FTP的“put”上传请求和“get”下载请求。;图8-3 应用代理防火墙 ; 应用级代理防火墙也具有内建代理功能的特性——在防火墙处终止客户连接并初始化一条到受保护内部网络的新连接。这一内建代理机制提供额外的安全，这是因为它将内部和外部系统隔离开来，从外面只看到代理服务器，而看不到任何内部资源，而且代理服务器只允许被代理的服务通过。这使得系统外部的黑客要