防火墙 信息系统安全理论与技术（第2版）课件.pptVIP

防火墙Firewall 防火墙（Firewall）是在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。 防火墙的应用和配置 在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。 在物理上，防火墙通常是一组硬件设备，路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。 防火墙的缺点 防火墙防外不防内 不能防范绕过防火墙的攻击。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵 防火墙配置复杂。容易出现安全漏洞 防火墙往往只认机器（IP地址）不认人（用户身份） 并且控制粒度较粗 防火墙不能防范病毒。防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件 防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用 防火墙策略服务访问策略 服务访问策略是整个机构信息安全策略的延伸，既要可靠又要切合实际。 一个典型的策略可以不允许从Internet访问内部网点，但要允许从内部网点访问Internet。 一个典型策略是允许从Internet进行某些访问，但是或许只许可访问经过选择的系统，如Web服务器和电子邮件服务器。 防火墙策略防火墙设计策略 防火墙一般采用下面两个方案之一进行策略设置： “没有明确允许的都是被禁止的”，即拒绝一切未予特许的东西。 “没有明确禁止的都是被允许的”，即允许一切未被特别拒绝的东西。 包过滤技术 包过滤技术是最早在路由器上实现的一种技术，其原理是在路由器上加入IP Filtering功能，这样的路由器就成为包过滤路由器。 路由器逐一审查每个数据包以判定它是否与包过滤规则相匹配（只检查包头，不理会包内的正文信息）。 如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息进行相应的操作； 如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃； 如果无匹配规则，一个用户配置的缺省参数将决定此包被舍弃或作其它处理。 推荐的过滤规则 任何进入内网的数据包不能将内部地址作为源地址。 任何进入内网的数据包必须将内部地址作为目标地址。 任何离开内网的数据包必须将内部地址作为源地址。 任何离开内网的数据包不能将内部地址作为目标地址。 任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址。 保留DHCP自动配置和多播地址也要被阻塞： /8，/16，/24，/4，/4。 代理服务技术 代理服务：是运行在防火墙主机上的专门的应用程序或者服务器程序。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现。外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用（切断） 代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。 代理服务一般是在应用层实现 应用级与电路级 应用级代理是已知代理服务向哪一应用提供的代理，它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息，缺点为只适用于单一协议。 电路级代理是在客户和服务器之间不解释应用协议即建立回路（TCP连接）。对各种不同的协议提供服务，缺点在于它对因代理而发生的情况几乎不加控制。 代理服务的优点 易于配置，软件实现，界面友好。 日志记录，便于分析。 灵活控制进出流量、内容（who、what、where 、when）。例如可以过滤协议，为防止用户向匿名FTP服务器写数据，可拒绝使用FTP协议中的put命令；能过滤数据内容：文本过滤、图像过滤、病毒扫描等。 为用户提供透明的加密机制，VPN 便于与其它安全手段集成，认证，授权，加密 代理服务的缺点 速度慢：检查内容；转发/响应。 代理对用户不透明，对客户端要定制软件或改动；如何跨平台；代理服务难以让用户非常满意。 不能改进底层协议的安全，IP欺骗，SYN泛滥，拒绝服务攻击。 有可能受到协议漏洞的威胁。 防火墙体系结构 屏蔽路由器 双重宿主主机体系结构 屏蔽主机体系结构 屏蔽子网体系结构 结构的变体 周边网络非军事化区、停火区（DMZ）是一个防护层，在其上可放置一些信息服务器在外部网络与内部网络之间的附加的网络。 堡垒主机：堡垒主机位于周边网络，是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 * * 对所有传输的数据包和连接方式按安全策略检查 限定人们从一个特别点离开 限定人们