第6章--防火墙技术.pptVIP

网络安全与管理第6章防火墙技术 本章学习目标防火墙及相关概念包过滤与代理防火墙的体系结构分布式防火墙与嵌入式防火墙天网个人防火墙的使用6.1.1防火墙概述1、相关概念 2、防火墙的作用 3、防火墙的优、缺点 6.1.1防火墙概述防火墙的概念防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内部网络的安全。6.1.1防火墙概述天网防火墙个人版6.1.1防火墙概述其它概念:外部网络（外网）内部网络（内网）非军事化区（DMZ）包过滤代理服务器6.1.1防火墙概述防火墙的基本功能从总体上看，防火墙应具有以下基本功能：可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户；防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警；限制内部用户访问特殊站点；记录通过防火墙的信息内容和活动，监视Internet安全提供方便。6.1.1防火墙概述防火墙安全策略一个防火墙应该使用以下两种基本策略中的一种:除非明确允许，否则就禁止除非明确禁止，否则就允许6.1.1防火墙概述防火墙的优点防火墙是加强网络安全的一种有效手段，它有以下优点：防火墙能强化安全策略；防火墙能有效地记录Internet上的活动；防火墙是一个安全策略的检查站。6.1.1防火墙概述防火墙的缺点有人认为只要安装了防火墙，所有的安全问题就会迎刃而解。但事实上，防火墙并不是万能的，安装了防火墙的系统仍然存在着安全隐患。以下是防火墙的一些缺点：不能防范恶意的内部用户；不能防范不通过防火墙的连接；不能防范全部的威胁；防火墙不能防范病毒；防火墙不能防止数据驱动式攻击。6.1.2防火墙技术分类1、包过滤技术 2、代理技术 3、防火墙技术的发展趋势包过滤技术包过滤（PacketFiltering）技术在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。包过滤技术包过滤技术包过滤防火墙具有明显的优点：一个屏蔽路由器能保护整个网络包过滤对用户透明屏蔽路由器速度快、效率高包过滤技术包过滤防火墙的缺点：它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录没有一定的经验，是不可能将过滤规则配置得完美不能在用户级别上进行过滤，只能认为内部用户是可信任的、外部用户是可疑的包过滤技术包过滤防火墙的发展阶段第一代：静态包过滤防火墙第二代：动态包过滤防火墙第三代：状态检测防火墙代理技术所谓代理服务器，是指代表内网用户向外网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。代理服务器的基本工作过程是：当客户机需要使用外网服务器上的数据时，首先将请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。代理技术代理的优点:代理易于配置代理能生成各项记录代理能灵活、完全地控制进出信息代理能过滤数据内容代理技术代理的缺点：代理速度比路由器慢代理对用户不透明对于每项服务，代理可能要求不同的服务器代理服务通常要求对客户或过程进行限制代理服务受协议弱点的限制代理不能改进底层协议的安全性代理技术代理防火墙的发展阶段：应用层代理（ApplicationProxy）电路层代理（CircuitProxy）自适应代理（AdaptiveProxy）6.2防火墙体系结构6.2.1双重宿主主机结构6.2.2屏蔽主机结构 6.2.3屏蔽子网结构 6.2.4防火墙的组合结构 6.2.1双重宿主主机结构双重宿主主机结构是围绕双宿主机来构筑的。双宿主机（Dual-homedhost），又称堡垒主机（Bastionhost），是一台至少配有两个网络接口的主机，它可以充当与这些接口相连的网络之间的路由器，在网络之间发送数据包。一般情况下双宿主机的路由功能是被禁止的，这样可以隔离内部网络与外部网络之间的直接通信，从而达到保护内部网络的作用。6.2.1双重宿主主机结构6.2.1双重宿主主机结构双重宿主主机结构6.2.2屏蔽主机结构屏蔽主机结构（ScreenedHostGateway），又称主机过滤结构。屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器；屏蔽路由器连接外部网络，堡垒主机