第7章防火墙技术

1、曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 防火墙是在网络安全防范中使用最多的技术，已成为企业网络中实施安全保护的核心，企业安全管理员利用防火墙实现相关的安全规则，来保护企业内部的网络设备和信息，目前为止，这是最有效的网络和设备保护措施。本章主要介绍了防火墙的功能与分类、防火墙的主要技术、防火墙体系结构、防火墙配置、防火墙的选型、主流防火墙产品简介、防火墙发展动态与趋势、防火墙部署实例。第第7章防火墙技术章防火墙技术7.1防火墙基础7.1.1防火墙的定义7.1.2 防火墙的特点7.2 防火墙的功能与分类7.2.1防火墙的功能7.2.2防火墙的分类7

2、.3防火墙的主要技术7.3.1包过滤技术7.3.2应用级网关防火墙7.3.3 深度包过滤技术7.4防火墙体系结构7.5防火墙配置7.5.1网络防火墙配置7.5.2防火墙的组网结构7.5.3个人防火墙配置第第7章章 防火墙技术防火墙技术曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 7.6防火墙的选型7.6.1 防火墙的选择原则7.6.2 选择防火墙的两个要素7.7 主流防火墙产品简介7.7.1 天融信防火墙7.7.2 联想防火墙7.7.3 瑞星防火墙7.7.4 360 arp防火墙7.8 防火墙发展动态与趋势7.9 防火墙部署实例7.9.1 某校园网防

3、火墙部署7.9.2 某公司网络防火墙部署7.9.3 某餐饮企业防火墙方案第第7章章 防火墙技术防火墙技术曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 防火墙是隔离本地网络与外界网络的防御系统。防火墙技术是保护网络不受侵犯的最主要技术之一。防火墙一般位于网络的边界上，按照一定的安全策略，对两个或多个网络之间的数据包和连接方式进行检查，来决定对网络之间的通信采取何种动作，比如允许，拒绝，或者转换。其中被保护的网络通常称为内部网络，其它称为外部网络。 7.17.1防火墙基础防火墙基础 7.1.1 7.1.1 防火墙的定义防火墙的定义 曾湘黔主编：曾湘黔主编

4、： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版典型的防火墙具有以下三个方面的基本特征： 1内部网络和外部网络之间的所有网络数据流都必须经过防火墙 2只有符合安全策略的数据流才能通过防火墙 3防火墙自身应具有非常强的抗攻击免疫力7.1.2 7.1.2 防火墙的特点防火墙的特点曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版防火墙的主要有以下功能 1网络安全的屏障2强化网络安全策略3防火墙就不仅能够制作完整的日志记录，而且还能够提供网络使用的情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

5、另外，收集一个网络的使用和误用情况也是一项非常重要的工作。4防止内部信息的外泄7.2 7.2 防火墙的功能与分类防火墙的功能与分类7.2.1 7.2.1 防火墙的功能防火墙的功能曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 现有的防火墙主要有：包过滤型、应用级网关型、复合型以及其他类型防火墙。 包过滤通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。 应用级网关型防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点（Pr

6、oxy Server)连接，中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是，内外网间不存在直接的连接，而且代理服务器提供日志（Log）和审计服务。 复合型包过滤和应用级网关两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。.2防火墙的分类防火墙的分类曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 包过滤防火墙一般上作在网络层，通常基于一定的规则完成数据包的匹配和过滤，规则内容包括:源/口标地址，源口标端口号，协议和标志位等。包过滤防火墙的关键在于过滤规则的设计。它的优点在于实现方式简单，灵活，对内部网络用户和应用程

7、序完全透明，性能开销小，处理速度较快。但缺点也很明显，其定义复杂，容易出现因配置不当带来问题，允许数据包自接通过，容易造成数据驱动式攻击的潜在危险。而且由于上作信息不完全，无法有效的区分同一IP地址上的不同用户，它的安全性相对较低。它对欺骗性攻击很脆弱，一旦被攻破，无法查找攻击来源。当采用严格过滤标准时，会降低网络传输性能。 7.37.3防火墙的主要技术防火墙的主要技术.1包过滤技术包过滤技术曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 应用级网关防火墙主要上作在应用层，应用代理服务技术能将所有跨越防火墙的网络通信链路分为两段，使得网

8、络内部的客户不自接与外部的服务器通信。它的基本上作过程是:当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器根据这一请求向服务器索取数据，再由代理服务器将数据传给客户机。由于外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。 .2应用级网关防火墙应用级网关防火墙曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版深度包过滤，就是将入侵检测系统和IPS整合起来。不仅过滤网络层和传输数据包头部，而且在应用层深入到正在服务器的数据包的有效载荷的内容部分，搜寻合法或者非法的内容以决定是否允许数据包

9、通过，或者查找常见的攻击，并丢弃与之相关的会话。1.主要优势体现在以下几方面: （1）理解更深层次的协议。 （2）漏检率更低。 （3）更强的防御能力。2.深度包过滤主要有数据包内容分析和管理应用程序两方面的功能。 (1)数据包内容分析 (2)管理应用程序 3.深度包过滤的步骤策略 7.3.3 7.3.3 深度包过滤技术深度包过滤技术曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 1双重宿主主机体系结构:双重宿主主机体系结构围绕双重宿主主机构筑，至少有2个网络接口。 2被屏蔽主机体系结构:被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开

10、，这种体系结构主要的安全由数据包过滤提供 3被屏蔽子网体系结构:被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构 7.47.4防火墙体系结构防火墙体系结构曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 网络防火墙的默认设置一般都只能是普遍的设置，也就是说这样的设置要大致适合成千上百用户。其实不同用户对于上网的安全要求是不一样的，普通的设置就不一定适合所有用户。 1.功能设置2.规则设置 7.57.5防火墙配置防火墙配置7.5.1网络防火墙配置网络防火墙配置曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版1.

11、 控制来自因特网对内部网络的访问这是一种应用得最广、最为重要的防火墙应用环境。在这种应用环境下，防火墙主要保护内部网络不遭受外网用户的攻击。目前很多企业、特别是中小型企业采用防火墙的主要原因。在这种应用环境中，防火墙网络可划分为3个不同级别的安全区域：内部网络、外部网络、DMZ（非军事区）。用户需要对不同的安全区域应用不同的安全策略。 2. 控制内部网络不同部门之间的访问这种应用环境就是在一个企业内部网络之间，对一些安全安全敏感的部门进行隔离保护。通过防火墙保护内部网络中敏感部门的资源不被非法访问。 .2防火墙的组网结构防火墙的组网结构曾湘黔主编：曾湘黔主编： 网络安全技术网络

12、安全技术 清华大学出版社出版清华大学出版社出版 天网防火墙是国内外针对个人用户最好的中文软件防火墙之一，在安装完天网防火墙时，会弹出设置向导。一般用户通常选择的安全级别为“中”就可以了。 对于高级用户，有时候需要自己来自定义规则来实现特殊要求。 1.添加规则 2.备份与恢复规则 3.天网防火墙下实现BT加速 4.挡住部分网页病毒的方法 .3个人防火墙配置个人防火墙配置曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 防火墙作为网络边界的安全哨卡，其重要性已经越来越得到企业的认可。这就意味着防火墙的市场需求越来越大。也因此，国内外众多商家纷

13、纷投身防火墙市场的激烈竞争，这样就形成了防火墙产品的品牌、档次五花八门，参差不齐，企业选择防火墙也就眼花缭乱，无所适从。那么，作为企业级用户，如何来选择一款既满足需求，又价格合理的防火墙产品呢？ 7.6 7.6 防火墙的选型防火墙的选型曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 1做好需求分析 选择产品的第一个步骤就是针对企业自身的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。 2.选择原则 在整理出具体的需求以后，可以得到一份防火墙的需求分析报告。下一步的工作就是在众多的品牌和档次中选出满足各种

14、需求的品牌，并考虑一定的扩展性要求。选择的主要原则有： （1）以需求为导向 选择最适合本企业需求的产品。由于防火墙的各项指标具有较强的专业性，因此企业在选择时，有必要把防火墙的主要指标和需求联系起来。另外，还要考虑到企业可承受的性价比。 （2）对于产品的选型 可参考的指标来源有厂家提供的技术白皮书、各种测评机构的横向对比测试报告，从中可以了解产品的一些基本性能情况。 （3）按需求给方案 要完全按照企业的实际需求来对比各种品牌的满足程度，最好是根据需求，定制一套解决方案，并对防火墙在统一测试条件和测试环境下进行横向对比。 7.6.1 7.6.1 防火墙的选择原则防火墙的选择原则曾湘黔主编：曾湘黔

15、主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 1.防火墙管理的难易度 防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等管理问题，更是一般企业不愿意使用的主要原因。 2.防火墙自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点：防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也不能完全保护内部网络。 7.6

16、.2 7.6.2 选择防火墙的两个要素选择防火墙的两个要素曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版7.7.1 7.7.1 天融信防火墙天融信防火墙 网络卫士NGFW ARES系列防火墙产品，是天融信公司为行业分支机构、中小型企业、教育行业非骨干节点院校、单位内部的部门级等中小用户开发的高性价比的安全平台。7.7.2 7.7.2 联想防火墙联想防火墙 网御power v（强五）系列防火墙作为联想网御的主流防火墙机型。网御强五防火墙在支持状态检测、地址转换、虚拟主机、端口映射、连接状态监控、与入侵检测系统联动、双机热备、负载均衡、抗攻击能力、宽带管理

17、、p2p应用的控制、深度过滤、网络多链路和对voip的支持等方面均达到了一个新的高度。 7.7 7.7 主流防火墙产品简介主流防火墙产品简介 曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版7.7.3 7.7.3 瑞星防火墙瑞星防火墙瑞星个人防火墙2010是最近推出的防火墙产品。网络监控 网络攻击拦截：阻止黑客攻击系统对用户造成的危险。 出站攻击防御：最大程度解决“肉鸡”和“网络僵尸”对网络造成的安全威胁。 恶意网址拦截：保护用户在访问网页时，不被病毒及钓鱼网页侵害。工作模式 交易模式：适用于用户进行炒股、网银交易、网上购物时的安全要求。 “云安全”（C

18、loud Security）计划 与全球瑞星用户组成立体监测防御体系，最快速度发现安全威胁，解决安全问题，共享安全成果。7.7.4 360 arp7.7.4 360 arp防火墙防火墙 360安全卫士已经集成arp防火墙，可以在360安全卫士-360实时保护-功能设置-Arp防火墙中进行相关设置。 曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版1.防火墙技术发展概述传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的，位于在内部专用网的入口处，所以也俗称“边界防火墙”。随着防火墙技术的发展，防火墙技术也得到了发展，出现了一些新的防火墙技术，如电路级

19、网关技术、应用网关技术和动态包过滤技术，在实际运用中，这些技术差别非常大，有的工作在OSI参考模式的网络层；有的工作在传输层，还有的工作在应用层。2.防火墙未来的技术发展趋势随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。（1）防火墙包过滤技术发展趋势 （2）多级过滤技术 （3）使防火墙具有病毒防护功能。 7.8 7.8 防火墙发展动态与趋势防火墙发展动态与趋势曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版 3.防火墙的体系结构发展趋势随着网络应用的增加，对网络带宽提出了更高的

20、要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。 4.防火墙的系统管理发展趋势防火墙的系统管理也有一些发展趋势，主要体现在以下几个方面： （1）首先是集中式管理，分布式和分层的安全结构是将来的趋势。 （2）强大的审计功能和自动日志分析功能。 （3）网络安全产品的系统化 5分布式防火墙技术 （1）分布式防火墙的产生 7.8 7.8 防火墙发展动态与趋势防火墙发展动态与趋势曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版7.9.1 7.9.1 某校园网防火墙部署某校园网

21、防火墙部署 某大学已经实现校园内计算机连网、信息资源共享，并通过CERNET与Internet互联。校园网现有连网节点900多个。网络结构：建筑物之间采用光纤连接，电教楼为中心点，向校内其他建筑物辐射；楼内水平线缆采用五类屏蔽双绞线。中心交换机采用Cisco路由交换机；二级交换机为Cisco路由交换机。1.安全隐患经检查，该校校园网安全隐患有 校园网通过CERNET与Internet相连，有可能面临着遭遇攻击的风险。 校园网内部存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁会更大一些。 目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。 随着校园内

22、计算机应用的大范围普及，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。 7.9 7.9 防火墙部署实例防火墙部署实例 曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版2.解决方案 根据中央财经大学校园网的结构特点及面临的安全隐患，我们在广泛征集各方意见，细心比较的基础上，决定采用北京瑞星公司设计的校园网络安全体系方案。该方案确定了以下几个必须考虑的安全防护要点：网络安全隔离、网络监控措施、网络安全漏洞、网络病毒的防范。 3.防火墙的部署 在Internet与

23、校园网内网之间部署了一台瑞星RFW-100防火墙，在内外网之间建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区（即“非军事区”，是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信，以保证内网安全），与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。这样，通过Internet进来的外网用户只能访问到对外公开的一些服务（如WWW、E-mail、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的使用，并能够对发生在网络中的安全事件进行跟踪和审计。 7.9 7.9 防火墙部署实例防火墙部署实例曾湘黔主编：曾湘黔主编： 网络安全技术网络安全技术 清华大学出版社出版清华大学出版社出版7.9.2 7.9.2 某公司网络防火墙部署某公司网络防火墙部署VigorPro系列防火墙路由器如何配置防火墙？ 用户背景：随着Internet应用的日益普及，众多企业都将自己的企业内部网络接入Internet。1.用户需求 对于企业而言，希望能够迅速识别、控制并消除攻击和病毒、以确保网络资源不会受到影响和破坏，同时也对内网的安全性和使用的方便