第5章　防火墙技术讲稿（三）网络安全 教学课件.pptVIP

回顾与复习导入新内容 回顾与复习： 传统的防火墙技术：静态包过滤技术。 新兴的防火墙技术：电路级网关技术、应用网关技术和动态包过滤技术。 引出新内容： 仅仅靠我们一述所讲的其中一种技术来构建防火墙就就能达到防范网络安全的目的吗？ 远非如此，要想更好更安全的防范外来攻击，必须根据内网实际需求构建防火墙体系，那么防火墙体系结构有哪几种，分别如何构建？ 补充教学内容：防火墙的体系结构 补充教学内容：防火墙的体系结构 重 点： 1:屏蔽主机体系结构 重 点： 2:双宿主机防火墙 重难点： 3:被屏蔽主机防火墙 重难点： 4:被屏蔽子网防火墙 难 点： 5:分布式防火墙体系结构 6：防火墙的分类 7:防火墙的性能及选购 8:防火墙技术的敝端 9:防火墙技术的发展趋势 10:实训 1、屏蔽主机体系结构(主机过滤体系结构) 在主机过 滤体系结构 中提供安全 保护的主机 仅仅与内部 网相连。 主机过滤 结构还有一 台单独的路 由器（过滤 路由器）。 在这种体 系结构中， 主要的安全 由数据包过 滤提供，其 结构如右图 所示。 屏蔽主机体系结构(主机过滤体系结构) 在屏蔽主机防火墙结构中,分组过滤路由器或防火墙与Internet相连，对数据包进行过滤。 同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。 筛选路由器 筛选路由器的另一个术语就是包过滤路由器。 筛选路由器的位置：它至少有一个接口是连向公网的，如Internet。它对进出内部网络的所有信息进行分析，并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。 采用这种技术的防火墙优点在于速度快、实现方便，但安全性能差，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。 堡垒主机(Bastion host)的配置 堡垒主机的基本配置:堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点。可以配置成过滤型、代理型或混合型。 堡垒主机的网卡配置：多数情况下，一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是Internet。 堡垒主机的网关服务配置：网关服务是一个进程来提供对从公网到私有网络的特殊协议路由，反之亦然。在一个应用级的网关里，你想使用的每一个应用程协议都需要一个进程。因此，你想通过一台堡垒主机来路由Email，Web和FTP服务时，你必须为每一个服务都提供一个守护进程。 保垒主机的优缺点 堡垒主机的优点：是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。 堡垒主机的缺点：堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。 堡垒主机的功能 内部网服务的主要功能有： ①它接收外来的电子邮件再分发给相应的站点； ②它接收外来的FTP，并连到内部网的匿名FTP服务器； ③它接收外来的有关内部网站点的域名服务。 向外的服务功能可用以下方法来实施： ①在内、外部路由器上建立包过滤，以便内部网的用户可直接操作外部服务器； ②在主机上建立代理服务，在内部网的用户与外部的服务器之间建立间接的连接。 2、双宿主主机体系结构 双宿主主机(Dual-homed Host):双宿主主机是有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。 双宿主主机体系结构：是围绕具有双宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。 通信机制：防火墙内部的网络系统能与双宿主主机通信，同时防火墙外部的网络系统（在因特网上）也能与双宿主主机通信。通过双宿主主机，防火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。 双宿主主机体系结构的结构如下： 双宿主主机的应用特点 简单 安全性不高 易于攻破 3、屏蔽主机体系结构 屏蔽主机的应用特点 过滤路由器的设置 堡垒主机的设置 对堡垒主机的要求 4、屏蔽子网体系结构 4、屏蔽子网体系结构 屏蔽子网体系结构