chap13 防火墙技术-wc.pptVIP

西安电子科技大学计算机学院  防火墙技术 主要内容 防火墙概述 防火墙发展史及分类 防火墙的体系结构 防火墙的发展趋势 防火墙产品介绍 防火墙概述 防火墙是什么 所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，是一种安全方法的形象说法，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。 防火墙的设计目标 所有通信都必须经过防火墙 通过阻塞未通过防火墙的访问实现 只有被授权的通信才能通过防火墙 授权是本地安全策略规定的 对于渗透必须是免疫的 即必须使用运行安全操作系统的可信系统 所采用的技术 服务控制： 决定哪些服务可以被访问 方向控制： 决定哪些特定方向上的服务请求可被发起并通过防火墙 用户控制： 根据用户正在试图访问的服务器，来控制其访问 行为控制： 控制一个具体的服务作用实现 防火墙的功能 定义单一阻塞点 提供监视安全事件的功能 用 IPSec 实现VPN 安全无关的功能，如NAT等 防火墙的局限性 防外不防内 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。 防火墙的局限性 不能防范绕过防火墙的攻击 防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 防火墙配置复杂，容易出现安全漏洞 防火墙往往只认机器（IP地址）不认人（用户身份），并且控制粒度较粗。 防火墙的局限性 防火墙不能防范病毒 防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 防火墙不能防止数据驱动式攻击。 当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。 防火墙发展史及分类 第一代防火墙 几乎与路由器同时出现，采用了包过滤技术。 第二、三代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。 第四代防火墙 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 第五代防火墙 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 防火墙发展史 防火墙的分类 包过滤路由器 应用级网关 电路级网关 静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。 动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，这种技术后来发展成为包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或删除。 代理防火墙 代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 自适应代理防火墙 自适应代理技术是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的