[计算机硬件及网络]防火墙技术.pptVIP

第 08 讲 防火墙技术 FireWall 在网络安全技术中，防火墙是第一道防御屏障。一般它位于路由器之后，为进出网络的连接提供安全访问控制。本节通过以下内容介绍防火墙技术的原理和应用。 防火墙基本概念 防火墙的核心技术 防火墙的体系结构 防火墙的分类 一、防火墙基本概念 防火墙的基本知识 防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在前门的安全卫士，控制并检查站点的访问者。 一、防火墙基本概念（续） 防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。 （1）所有进出网络的通信流都应该通过防火墙。 （2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 （3）理论上说，防火墙是穿不透的。 一、防火墙基本概念（续） 内部网需要防范的三种攻击有： 间谍：试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。 破坏系统：通过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网 （外部网）和服务器。 这里，防火墙的作用是保护Web站点和公司的内部网，使之免遭因特网上各种危险的侵犯。 一、防火墙基本概念（续） 从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。 防火墙在网络中的位置 防火墙在网络中的位置 防火墙在网络中的位置 DMZ区(demilitarized zone，也称非军事区) DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。 通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。这样，不管是外部还是内部与对外服务器交换信息数据也要通过防火墙，实现了真正意义上的保护。 一、防火墙基本概念（续） 防火墙的基本功能 （1）防火墙能够强化安全策略 （2）防火墙能有效地记录因特网上的活动 （3）防火墙限制暴露用户点 （4）防火墙是一个安全策略的检查站 附加功能： NAT（Network Address Translation）网络地址转换 VPN（Virtual Personal Network ）虚拟专用网 RM（Route Management）路由管理 一、防火墙基本概念（续） 防火墙的不足之处 （1）不能防范恶意的知情者 （2）防火墙不能防范不通过它的连接 （3）防火墙不能防备全部的威胁 （4）防火墙不能防范病毒 二、防火墙的核心技术 包过滤 代理服务 状态监视 1.包过滤 包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。我们在这儿首先简单介绍一些高层IP（因特网协议）网络的概念。 一个文件要穿过网络，必须将文件分成小块，每小块文件单独传输。把文件分成小块的做法主要是为了让多个系统共享网络，每个系统可以依次发送文件块。在IP网络中，这些小块被称为包。所有的信息传输都是以包的方式来实施的。 1.包过滤（续） 每个数据包都包含有特定信息的一组报头，其主要信息是： （1）IP协议类型（TCP、UDP，ICMP等）； （2）IP源地址； （3）IP目标地址； （4）IP选择域的内容； （5）TCP或UDP源端口号； （6）TCP或UDP目标端口号； （7）ICMP消息类型。 路由器也会得到一些在数据包头部信息种没有得到的关于数据包得其他信息。 1.包过滤（续） 数据包的封装 1.包过滤（续） 包过滤操作流程图 1.包过滤（续） 包过滤是如何工作的 包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据： （1）将包的目的地址作为判据； （2）将包的源地址作为判据； （3）将