网络安全与管理课件 第4章 防火墙技术.pptVIP

第4章 防火墙技术 主讲：仲 炜 4.1 防火墙简介 防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件。防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制，提供可控的过滤网络通信，只允许授权的通信，目的是保护网络不被他人侵扰。通常，防火墙就是位于内部网络或Web站点与因特网之间的一个路由器或一台计算机，又称堡垒主机,它是对所有网络通信流进行过滤的节点，如下页图所示。 4.2 防火墙的类型 4.2.1 包过滤防火墙 4.2.2 代理服务型防火墙 4.2.3 网络地址翻译 4.2.4 主动监测技术 4.2.1 包过滤防火墙 数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control List，ACL）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合来确定是否允许该数据包通过。 包过滤防火墙的优点：它对用户来说是透明的，处理速度快且易于维护。 4.2.1 包过滤防火墙 1.包过滤防火墙的分类 （1）静态包过滤 （2）动态包过滤 4.2.1 包过滤防火墙 2.包过滤防火墙的工作原理 （1）数据包从外网传送到防火墙后，防火墙抢在IP层向TCP层传送前，将数据包转发给包检查模块进行处理。 （2）包检查模块首先将包头信息与第一条规则进行比较，如果与第一条规则匹配则对它进行审核判断，看是否转发该数据包。如果转发，则将数据包转发给TCP层处理，否则就将该报丢弃。 （3）如果包头信息与第一条规则不匹配，则与第二条规则比较。接下来的步骤同上，直到所有规则都比较完毕。要是都不匹配，则丢弃该数据包。 4.2.2 代理服务型防火墙 代理服务器有两个主要的部件：代理服务器和代理客户。代理客户端的用户面对的是代理服务器而不是因特网上的真正的服务器。代理服务器评价来自客户的请求，决定认可哪一个或否认哪一个。如果一个请求被认可，代理服务器代表客户接触真正的服务器，并且转发从代理客户到真正的服务器的请求，将服务器的响应传送给代理客户。代理的实现过程如下页图所示。 4.2.3 网络地址翻译 网络的爆炸式发展和网络用户的急剧增加造成了IP地址的紧张问题，而彻底的解决方案目前还没有得到正式推广，为了解决IP地址的不足问题，提出了网络地址翻译（NAT）的方法。网络地址翻译也是一种重要的防火墙技术，因为它对外隐藏了内部的网络结构，外部攻击者无法确定内部网络的连接状态。而且不同的时候，内部网络向外连接使用的地址都不同，给外部攻击者造成了困难。同样，NAT通过定义各种映射规则，屏蔽外部的连接请求，并可以将连接请求映射到不同的主机上。 4.2.4 主动监测技术 无论是包过滤还是代理服务，都是根据管理员预定义好的规则提供服务或者限制某些访问的。然而在提供网络访问能力和确保网络安全方面，显然存在矛盾，但只要允许访问某些网络服务，就有可能造成某种相同漏洞。可是如果限制太过严格，合法的网络访问就受到不必要的限制。代理型的防火墙的限制就体现在这个方面，必须分别为一种网络服务提供一个代理程序，当网络上的新型服务出现时，就不可能立即提供这个服务的代理程序。 4.3 防火墙配置 4.3.1 Web服务器置于防火墙之内 4.3.2 Web服务器置于防火墙之外 4.3.3 Web服务器置于防火墙之上 4.3.4 屏蔽主机防火墙 4.3.5 屏蔽子网防火墙 4.3.1 Web服务器置于防火墙之内 布置防火墙的主机安装两个网络接口卡，分别为eth0和eth1。其中，eth0连接在外网，其IP地址为10.10.35.56；eth1连接在内网，其IP地址为192.168.0.1。Web服务器主机位于内网，其IP地址为192.168.0.8，如下图所示。 4.3.2 Web服务器置于防火墙之外 防火墙只能对内网的主机提供一定的保护功能。如果将Web服务器放置在防火墙之外，防火墙就不会对该服务器有任何的防护作用。因此，在防火墙主机上也不需要有任何的设置了。通常，将Web服务器放置在接入路由器和内部防火墙之间的非军事化区域，在接入路由器上需要配置NAT和端口映射功能，如下页图所示。 4.3.2 Web服务器置于防火墙之外 4.3.3 Web服务器置于防火墙之上 布置防火墙的主机安装两个网络接口卡，分别为eth0和eth1。其中，eth