第6章 防火墙技术 计算机信息安全技术课件.pptVIP

第6章 防火墙技术 6.1 防火墙概述 6.2 防火墙的体系结构 6.3 防火墙技术 6.4 分布式防火墙 6.5 防火墙安全策略 6.6 Win XP防火墙 6.7 防火墙的选购 6.8 个人防火墙程序设计介绍 6.1 防火墙概述 在内部网和Internet之间插入一个系统，即防火墙，用来防止各类黑客的破坏，阻断来自外部网络的威胁和入侵，扮演着防备潜在的恶意活动屏障。 6.1.1 防火墙的概念 防火墙是保障网络安全的一个系统或一组系统，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。 防火墙至少提供两个基本的服务，即： 1．有选择的限制外部网用户对本地网的访问，保护本地网的特定资源。 2．有选择的限制本地网用户对外地网的访问。 安全、管理、速度是防火墙的三大要素。 它可以嵌入到某种硬件产品中，以硬件设备形式出现，即硬件防火墙。它也可以是一种软件产品，即软件防火墙。 6.1.2 防火墙主要功能 防火墙主要功能有： 1．防止易受攻击的服务。 2．控制访问网点。 3．集中安全性管理。 4．对网络存取和访问进行监控审计。 5．检测扫描计算机的企图。 6．防范特洛伊木马。 7．防病毒功能。 8．支持VPN技术。 9．提供网络地址翻译NAT功能 防火墙的主要缺陷有： 1．不能防范内部攻击。 2．不能防范不通过防火墙的连接入侵。 3．不能自动防御所有新的威胁。 6.1.3 防火墙的基本类型 从概念上来讲，可以将防火墙分成两种基本类型的防火墙： 1．网络层防火墙 网络层防火墙是作用于网络层的，一般根据源、目的地址做出决策，输入单个的IP包，通常需要分配有效的IP地址块。网络层防火墙一般速度都很快，对用户很透明。 2．应用层防火墙 应用层防火墙作用于网络应用层，是通过软件来分析用户应用层的数据流量，能对通过它的数据流进行记录和审计，能提供更详尽的审计报告。记录和控制所有进出流量的能力是应用层网关的主要优点之一。同时，应用层防火墙还可以充当网络地址翻译器。在某些情况下，设置了应用层防火墙后，可能会对性能造成影响，会使防火墙不太透明。应用层防火墙比网络层防火墙实施更保守的安全模型。 从技术上来讲，可以将防火墙分成传统防火墙，分布式防火墙，嵌入式防火墙和智能防火墙等。 1．嵌入式防火墙 嵌入式防火墙就是将防火墙功能嵌入到路由器或交换机中。嵌入式防火墙的主要优点和缺点见教材。 　　2．智能防火墙 　　智能防火墙就是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。 6.2 防火墙的体系结构 ?6.2.1 筛选路由器结构 筛选路由器是防火墙最基本的构件。它一般作用在网络层（IP层），按照一定的安全策略，对进出内部网络的信息进行分析和限制，实现报文过滤功能。该防火墙优点在于速度快等，但安全性能差 6.2.2 双宿主主机结构 双宿主主机结构是用一台装有两块网卡的堡垒机构成防火墙。堡垒机上运行着防火墙软件，可以转发应用程序，提供服务等。内外网络之间的IP数据流被双宿主主机完全切断。用堡垒机取代路由器执行安全控制功能。 6.2.3 屏蔽主机网关结构 屏蔽主机网关结构中堡垒机与内部网相连，用筛选路由器连接到外部网上，筛选路由器作为第一道防线，堡垒机作为第二道防线。这确保了内部网络不受未被授权的外部用户的攻击。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。 6.2.4 屏蔽子网结构 屏蔽子网结构，就是在内部网络和外部网络之间建立一个被隔离的子网，这个子网可有堡垒主机等公用服务器组成，用两台筛选路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网进行通信，从而进一步实现屏蔽主机的安全性。 6.3防火墙技术 6.3.1 包过滤技术 包过滤技术是基于IP地址来监视并过滤网络上流入和流出的IP包，它只允许与指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安排数据包的去向。 信息过滤规则是以其所