网络安全技术第八章

1、第八章第八章 防火墙防火墙第八章第八章 防火墙防火墙第八章第八章 防火墙防火墙第八章第八章 防火墙防火墙第一节防火墙的基本原理第一节防火墙的基本原理第二节防火墙的分类第二节防火墙的分类第三节第三节 防火墙体系结构防火墙体系结构第四节第四节 防火墙的发展趋势防火墙的发展趋势第八章第八章 防火墙防火墙第一节防火墙的基本原理第一节防火墙的基本原理一、防火墙的概念第八章第八章 防火墙防火墙一、防火墙的概念防火墙防火墙(Firewall)(Firewall)是指一个由软件是指一个由软件和硬件设备组合而成，处于企业或网络和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界群体计算机与外界通

2、道之间，限制外界用户对内部网络访问及管理内部用户访用户对内部网络访问及管理内部用户访问外界网络的权限。问外界网络的权限。 第一节防火墙的基本原理第一节防火墙的基本原理第八章第八章 防火墙防火墙一、防火墙的概念第一节防火墙的基本原理第一节防火墙的基本原理第八章第八章 防火墙防火墙二、防火墙模型二、防火墙模型形象地说，防火墙是在两个网络通信时，形象地说，防火墙是在两个网络通信时，执行一种相互访问控制的尺度，它能够允许用执行一种相互访问控制的尺度，它能够允许用户户“同意同意”的人和数据进入他的网络，同时将的人和数据进入他的网络，同时将用户用户“不同意不同意”的人和数据拒之门外，阻止网的人和数据拒之门

3、外，阻止网络中的黑客访问他的网络，防止他们更改、拷络中的黑客访问他的网络，防止他们更改、拷贝、毁坏用户的重要信息，按照贝、毁坏用户的重要信息，按照OSI/RMOSI/RM模型要模型要求，防火墙可以在求，防火墙可以在OSI/RMOSI/RM七层中的五层设置。七层中的五层设置。第一节防火墙的基本原理第一节防火墙的基本原理第八章第八章 防火墙防火墙二、防火墙模型二、防火墙模型防火墙模型防火墙模型第一节防火墙的基本原理第一节防火墙的基本原理第八章第八章 防火墙防火墙三、防火墙的安全策略三、防火墙的安全策略包括用户的所有信息。其中最主要包括用户的所有信息。其中最主要包括用户名、口令、用户所属的工作组、包

4、括用户名、口令、用户所属的工作组、用户在系统中的权限和资源存取许可。用户在系统中的权限和资源存取许可。第一节防火墙的基本原理第一节防火墙的基本原理1 1用户帐号策略用户帐号策略第八章第八章 防火墙防火墙三、防火墙的安全策略三、防火墙的安全策略用户权限策略用来允许授权用户使用用户权限策略用来允许授权用户使用系统资源。用户权限一般有两种：对执行系统资源。用户权限一般有两种：对执行特定任务用户的授权可应用于整个系统；特定任务用户的授权可应用于整个系统；对特定对象（如目录、文件、打印机等）对特定对象（如目录、文件、打印机等）的规定，这种规定限制用户能否或以何种的规定，这种规定限制用户能否或以何种方式存

5、取对象。方式存取对象。第一节防火墙的基本原理第一节防火墙的基本原理2 2用户权限策略用户权限策略第八章第八章 防火墙防火墙三、防火墙的安全策略三、防火墙的安全策略通过信任关系在网络中建立域的安全通过信任关系在网络中建立域的安全性。信任关系是两个域中一个域信任另外性。信任关系是两个域中一个域信任另外的域。它包括两个方面：信任域和被信任的域。它包括两个方面：信任域和被信任域。信任域可允许被信任域中的用户在其域。信任域可允许被信任域中的用户在其中使用。中使用。第一节防火墙的基本原理第一节防火墙的基本原理3 3信任关系策略信任关系策略第八章第八章 防火墙防火墙三、防火墙的安全策略三、防火墙的安全策略包

6、过滤路由器根据过滤规则，来过滤包过滤路由器根据过滤规则，来过滤基于标准的数据包，完成包过滤功能。其基于标准的数据包，完成包过滤功能。其中包括：包过滤控制点；包过滤操作过程、中包括：包过滤控制点；包过滤操作过程、包过滤规则；对地址欺骗、输入输出端口包过滤规则；对地址欺骗、输入输出端口的过滤；的过滤；FTDFTD包与包与UDPUDP包的过滤等。包的过滤等。第一节防火墙的基本原理第一节防火墙的基本原理4 4包过滤策略包过滤策略第八章第八章 防火墙防火墙三、防火墙的安全策略三、防火墙的安全策略目前已有的可以公开的加密算法很多，目前已有的可以公开的加密算法很多，其中最有名的传统加密算法是美国其中最有名的

7、传统加密算法是美国DESDES（数（数据加密标准）和据加密标准）和RC5RC5算法、欧洲的算法、欧洲的IDEAIDEA算法、算法、日本的日本的FEALFEAL算法。最有名的公开密钥体制算法。最有名的公开密钥体制是是RSARSA体制、体制、ElgamalElgamal体制等。最有名的数体制等。最有名的数字签名体制是字签名体制是DSSDSS体制、体制、ElgamalElgamal体制等。体制等。最有名的消息签名体制有最有名的消息签名体制有MD5MD5等。等。 第一节防火墙的基本原理第一节防火墙的基本原理5 5认证、签名和数据加密策略认证、签名和数据加密策略第八章第八章 防火墙防火墙三、防火墙的安全

8、策略三、防火墙的安全策略从从InternetInternet的应用来看，密钥管理方的应用来看，密钥管理方式应采用自动化管理，特别对于密钥分配式应采用自动化管理，特别对于密钥分配而言，应采用离线式密钥中心方式。针对而言，应采用离线式密钥中心方式。针对InternetInternet的层次结构，密钥中心的设置应的层次结构，密钥中心的设置应具有相应的层次。而整个密钥体系也应采具有相应的层次。而整个密钥体系也应采用层次结构，以分为主密钥、密钥加密密用层次结构，以分为主密钥、密钥加密密钥和会话密钥三个层次为宜。钥和会话密钥三个层次为宜。 第一节防火墙的基本原理第一节防火墙的基本原理6 6密钥分配策略密钥

9、分配策略第八章第八章 防火墙防火墙三、防火墙的安全策略三、防火墙的安全策略审计是用来记录如下事件：哪个审计是用来记录如下事件：哪个用户访问哪个对象；访问类型；访问用户访问哪个对象；访问类型；访问过程是否成功等。过程是否成功等。第一节防火墙的基本原理第一节防火墙的基本原理7 7审计策略审计策略第八章第八章 防火墙防火墙按照防火墙对内外来往数据的处理方法，按照防火墙对内外来往数据的处理方法，大致可以分为两大类：大致可以分为两大类：包过滤（包过滤（packet filteringpacket filtering）防火墙）防火墙应用代理（应用代理（application proxyapplicatio

10、n proxy）防火墙）防火墙（又称应用层网关防火墙）（又称应用层网关防火墙）第一节防火墙的基本原理第一节防火墙的基本原理第八章第八章 防火墙防火墙第八章第八章 防火墙防火墙第一节防火墙的基本原理第一节防火墙的基本原理第二节防火墙的分类第二节防火墙的分类第三节第三节 防火墙体系结构防火墙体系结构第四节第四节 防火墙的发展趋势防火墙的发展趋势第八章第八章 防火墙防火墙第二节防火墙的分类第二节防火墙的分类一、包过滤防火墙一、包过滤防火墙包过滤作用在网络层和传输层，它根包过滤作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数

11、据包通过。协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数应的目的地出口端，其余数据包则被从数据流中丢弃。据流中丢弃。 1 1包过滤的概念包过滤的概念第八章第八章 防火墙防火墙包过滤防火墙包过滤防火墙又称为过滤路由器，又称为过滤路由器，它通过将包头信息和管理员设定的规则它通过将包头信息和管理员设定的规则表比较，如果有一条规则不允许发送某表比较，如果有一条规则不允许发送某个包，路由器就将它丢弃。个包，路由器就将它丢弃。一、包过滤防火墙一、包过滤防火墙1 1包过滤的概念包过滤的概念第二节防火墙的分类第

12、二节防火墙的分类第八章第八章 防火墙防火墙包过滤方式有很多优点，而其主要优包过滤方式有很多优点，而其主要优点之一是仅用放置在重要位置上的包过滤点之一是仅用放置在重要位置上的包过滤路由器就可保护整个网络。路由器就可保护整个网络。 1 1包过滤的概念包过滤的概念一、包过滤防火墙一、包过滤防火墙第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙虽然包过滤防火墙有许多优点，但它也有虽然包过滤防火墙有许多优点，但它也有一些缺点及局限性：一些缺点及局限性： （1 1）在机器中配置包过滤规则比较困难；）在机器中配置包过滤规则比较困难； （2 2）对系统中的包过滤规则的配置进行测）对系统中的包过滤

13、规则的配置进行测试也较麻烦；试也较麻烦； （3 3）许多产品的包过滤功能有这样或那样）许多产品的包过滤功能有这样或那样的局限性，要寻找一个比较完整的包过滤产品的局限性，要寻找一个比较完整的包过滤产品比较困难。比较困难。 一、包过滤防火墙一、包过滤防火墙第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙一、包过滤防火墙一、包过滤防火墙2 2包过滤的基本原理包过滤的基本原理 （1 1）包过滤和网络安全策略）包过滤和网络安全策略包过滤还可以用来实现大范围内的网包过滤还可以用来实现大范围内的网络安全策略。网络安全策略必须清楚地说络安全策略。网络安全策略必须清楚地说明被保护的网络和服务的类型

14、、它们的重明被保护的网络和服务的类型、它们的重要程度和这些服务要保护的对象等。要程度和这些服务要保护的对象等。 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙 （2 2）包过滤模型）包过滤模型包过滤器通常设置于一个或多个网段包过滤器通常设置于一个或多个网段之间。网络段区分为外部网段或内部网段。之间。网络段区分为外部网段或内部网段。外部网段是通过网络将用户的计算机连接外部网段是通过网络将用户的计算机连接到外面的网络上，内部网段用来连接公司到外面的网络上，内部网段用来连接公司内部的主机和其他网络资源内部的主机和其他网络资源。2 2包过滤的基本原理包过滤的基本原理一、包过滤防火墙一、

15、包过滤防火墙第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙（3 3）包过滤操作）包过滤操作 2 2包过滤的基本原理包过滤的基本原理一、包过滤防火墙一、包过滤防火墙包过滤标准必须由包过滤设备端口存储包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则起来，这些包过滤标准叫包过滤规则;当包到达端口时，对包的报头进行语当包到达端口时，对包的报头进行语法分析法分析;包过滤规则以特殊的方式进行存储包过滤规则以特殊的方式进行存储;第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙如果一条规则允许包传输或接收则该包可如果一条规则允许包传输或接收则该包可以继续处理以继

16、续处理 ;如果一条规则阻止包传输或接收，此包便如果一条规则阻止包传输或接收，此包便不被允许通过不被允许通过;如果一个包不满足任何一条规则，则该包如果一个包不满足任何一条规则，则该包被阻塞被阻塞;2 2包过滤的基本原理包过滤的基本原理一、包过滤防火墙一、包过滤防火墙（3 3）包过滤操作）包过滤操作 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙一、包过滤防火墙一、包过滤防火墙图8.2 包过滤操作流程图包过滤操作流程包过滤操作流程3 3包过滤规则包过滤规则第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙一、包过滤防火墙一、包过滤防火墙4 4依据地址进行过滤依据地址进行

17、过滤 用地址进行过滤可以不管使用用地址进行过滤可以不管使用什么协议，仅根据源地址什么协议，仅根据源地址/ /目的地目的地址对流动的包进行过滤。址对流动的包进行过滤。第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙一、包过滤防火墙一、包过滤防火墙5 5依据服务进行过滤依据服务进行过滤 被拒绝进入内部网络的伪装包主被拒绝进入内部网络的伪装包主要是在依靠地址进行过滤的包过滤系要是在依靠地址进行过滤的包过滤系统中。大多数包过滤系统还涉及到依统中。大多数包过滤系统还涉及到依据服务进行过滤。据服务进行过滤。 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙二、应用代理防火墙二、

18、应用代理防火墙 应用代理，也叫应用网关应用代理，也叫应用网关（application gatewayapplication gateway），它作），它作用在应用层，其特点是完全用在应用层，其特点是完全“阻阻隔隔”了网络通信流，通过对每种了网络通信流，通过对每种应用服务编制专门的代理程序，应用服务编制专门的代理程序，实现监视和控制应用层通信流的实现监视和控制应用层通信流的作用。作用。 1 1应用代理概念应用代理概念第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙二、应用代理防火墙二、应用代理防火墙应用代理防火墙的典型配置应用代理防火墙的典型配置第二节防火墙的分类第二节防火墙的分类

19、第八章第八章 防火墙防火墙 应用代理或代理服务器应用代理或代理服务器(application (application level proxyorlevel proxyor，proxy server)proxy server)是代理内部是代理内部网络用户与外部网络服务器进行信息交换的网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部程序。它将内部用户的请求确认后送达外部服务宝器，同时将外部服务器的响应再回送服务宝器，同时将外部服务器的响应再回送给用户。给用户。二、应用代理防火墙二、应用代理防火墙1 1应用代理概念应用代理概念第二节防火墙的分类第二节防火墙的分类第八章第

20、八章 防火墙防火墙 代理的实现过程如图代理的实现过程如图8.48.4所示，代理服务有两个主要部件：所示，代理服务有两个主要部件：代理服务器和代理客户。代理服务器和代理客户。 用户用户代理服务器代理服务器感觉的连接感觉的连接实际的连接实际的连接外部主机外部主机图图8.4 8.4 代理的实现过程代理的实现过程二、应用代理防火墙二、应用代理防火墙1 1应用代理概念应用代理概念第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙二、应用代理防火墙二、应用代理防火墙2 2代理服务代理服务 代理服务是具有访问互联网能力的主代理服务是具有访问互联网能力的主机作为那些无权访问互联网主机的代理，机作为

21、那些无权访问互联网主机的代理，这样使得一些不能访问互联网的主机通过这样使得一些不能访问互联网的主机通过代理服务也可以完成访问互联网的工作。代理服务也可以完成访问互联网的工作。第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙二、应用代理防火墙二、应用代理防火墙3. 3. 代理服务的工作方法代理服务的工作方法 代理服务的工作细节对每一种服务器代理服务的工作细节对每一种服务器都是不同的，一些服务已自动地提供了代都是不同的，一些服务已自动地提供了代理，对于这些服务可以通过对正常服务器理，对于这些服务可以通过对正常服务器的配置来设置代理。但对于大多数服务来的配置来设置代理。但对于大多数服务

22、来说，代理服务在服务器上要求运行特殊的说，代理服务在服务器上要求运行特殊的代理服务器软件。代理服务器软件。 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙在客户端可以有以下两种方法在客户端可以有以下两种方法:3. 3. 代理服务的工作方法代理服务的工作方法二、应用代理防火墙二、应用代理防火墙 (1)(1)定制客户软件。采用这种方法，软件定制客户软件。采用这种方法，软件必须知道当用户提出请求时怎样与代替真实服必须知道当用户提出请求时怎样与代替真实服务器的代理服务器进行连接，并且告诉代理服务器的代理服务器进行连接，并且告诉代理服务器如何与真实服务器连接。务器如何与真实服务器连接。第

23、二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙 (2)(2)定制客户过程。采用这种方法时，定制客户过程。采用这种方法时，用户使用标准的客户软件与代理服务器连用户使用标准的客户软件与代理服务器连接，并通知代理服务器与真实服务器连接，接，并通知代理服务器与真实服务器连接，以此来代替与真实服务器的连接。以此来代替与真实服务器的连接。二、应用代理防火墙二、应用代理防火墙3. 3. 代理服务的工作方法代理服务的工作方法第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙二、应用代理防火墙二、应用代理防火墙4. 4. 代理服务器的使用代理服务器的使用 代理服务器有一些特殊类型，主要

24、表现代理服务器有一些特殊类型，主要表现为应用级与回路级代理、公共与专用代理服为应用级与回路级代理、公共与专用代理服务器和智能代理服务器。务器和智能代理服务器。 （1 1）应用级与回路级代理）应用级与回路级代理 应用级代理是已知代理服务为哪个应用提供的代应用级代理是已知代理服务为哪个应用提供的代理，它能了解并解释应用协议中的命令；而回路级代理，它能了解并解释应用协议中的命令；而回路级代理在客户端与服务器之间不解释应用协议中的命令就理在客户端与服务器之间不解释应用协议中的命令就建立了连接回路建立了连接回路。 （2 2）公共与专用代理服务器）公共与专用代理服务器 一个专用服务器只适用于单个协议，而一

25、一个专用服务器只适用于单个协议，而一个公共代理服务器则适用多个协议。实际上专个公共代理服务器则适用多个协议。实际上专用代理服务器是应用级的，而公共代理服务器用代理服务器是应用级的，而公共代理服务器是属于回路级的。是属于回路级的。 （3 3）智能代理服务器）智能代理服务器 如果一个代理服务器不仅能处理转发请求，如果一个代理服务器不仅能处理转发请求，同时还能够做其他许多事情的话，这样的代理服同时还能够做其他许多事情的话，这样的代理服务器就称为智能代理服务器。对于一个专用的应务器就称为智能代理服务器。对于一个专用的应用级代理来说很容易升级到智能代理服务器，但用级代理来说很容易升级到智能代理服务器，但

26、对一个回路级的代理来说则比较困难。对一个回路级的代理来说则比较困难。第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防火墙 1 1传统防火墙分析传统防火墙分析 基于网络地址转换（基于网络地址转换（network address network address translator, NATtranslator, NAT）的复合型防火墙系统，）的复合型防火墙系统，它融合了代理技术的高性能和包过滤技术高它融合了代理技术的高性能和包过滤技术高效性的优点。效性的优点。 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防

27、火墙 2 2设计思想设计思想 集中访问控制技术是在服务请求时由网集中访问控制技术是在服务请求时由网关负责鉴别，一旦鉴别成功，其后的报文交关负责鉴别，一旦鉴别成功，其后的报文交互都直接通过互都直接通过TCP/IPTCP/IP层的过滤规则，无需象层的过滤规则，无需象应用层代理那样逐个报文转发，这就实现了应用层代理那样逐个报文转发，这就实现了与代理方式同样的安全水平而处理量大幅下与代理方式同样的安全水平而处理量大幅下降，性能随即得到大大提高。另一方面，降，性能随即得到大大提高。另一方面，NATNAT技术通过在网关上对进出技术通过在网关上对进出IPIP包源与目的地址包源与目的地址的转换，实现过滤规则的

28、动态化。的转换，实现过滤规则的动态化。 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防火墙 3 3系统设计系统设计 基于基于WebWeb的防火墙管理系统的防火墙管理系统集中访问控集中访问控制模块制模块临时访问端临时访问端口表口表认证访问控认证访问控制系统制系统网络安全监网络安全监控系统控系统NATNAT模块模块内内部部网网内内部部网网图图8.5 8.5 基于基于NATNAT的复合型防火墙系统总体结构模型的复合型防火墙系统总体结构模型 图图8.5给出了基于给出了基于NAT的复合型防火墙系统的总的复合型防火墙系统的总体结构模型，由五大模块组成。体结构模

29、型，由五大模块组成。 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防火墙 3 3系统设计系统设计 NAT模块依据一定的规则，对所有出入模块依据一定的规则，对所有出入的数据包进行源与目的地址识别，并将由内的数据包进行源与目的地址识别，并将由内向外的数据包中源地址替换成一个真实地址，向外的数据包中源地址替换成一个真实地址，而将由外向内的数据包中的目的地址替换成而将由外向内的数据包中的目的地址替换成相应的虚拟地址相应的虚拟地址 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防火墙 集中访问控制（集中访问控制（C

30、ACCAC）模块负责响应所有）模块负责响应所有指定的由外向内的服务访问，通知认证访问指定的由外向内的服务访问，通知认证访问控制系统实施安全鉴别，为合法用户建立相控制系统实施安全鉴别，为合法用户建立相应的连接，并将这一连接的相关信息传递给应的连接，并将这一连接的相关信息传递给NATNAT模块，保证在后续的报文传输时直接转发模块，保证在后续的报文传输时直接转发而无需控制模块干预。而无需控制模块干预。3 3系统设计系统设计 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防火墙 临时访问端口表及连接控制（临时访问端口表及连接控制（TLTCTLTC）模块通过）

31、模块通过监视外向型连接的端口数据动态维护一张临时端口监视外向型连接的端口数据动态维护一张临时端口表，记录所有由内向外的连接的源与目的端口信息，表，记录所有由内向外的连接的源与目的端口信息，根据此表及预先配置好的协议集由连接控制模块决根据此表及预先配置好的协议集由连接控制模块决定哪些连接是允许的而哪些是不允许的，即根据所定哪些连接是允许的而哪些是不允许的，即根据所制定的规则（安全政策）禁止相应的由外向内发起制定的规则（安全政策）禁止相应的由外向内发起的连接，以防止攻击者利用网关允许的由内向外的的连接，以防止攻击者利用网关允许的由内向外的访问协议类型做反向的连接访问。访问协议类型做反向的连接访问。

32、3 3系统设计系统设计 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防火墙 认证与访问控制系统是防火墙系统的认证与访问控制系统是防火墙系统的关键环节，它按照网络安全策略负责对通关键环节，它按照网络安全策略负责对通过防火墙的用户实施用户的身份鉴别和对过防火墙的用户实施用户的身份鉴别和对网络信息资源的访问控制，保证合法用户网络信息资源的访问控制，保证合法用户正常访问和禁止非法用户访问。正常访问和禁止非法用户访问。 3 3系统设计系统设计 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防火墙 网络监控系统负责截

33、取到达防火墙网网络监控系统负责截取到达防火墙网关的所有数据包，对信息包报头和内容进关的所有数据包，对信息包报头和内容进行分析，检测是否有攻击行为，并实时通行分析，检测是否有攻击行为，并实时通知系统管理员。知系统管理员。 3 3系统设计系统设计 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙三、三、 复合型防火墙复合型防火墙 （1 1）网络地址转换模块）网络地址转换模块 （2 2）集中访问控制模块）集中访问控制模块 （3 3）临时访问端口表）临时访问端口表 （4 4）认证与访问控制系统）认证与访问控制系统 （5 5）网络安全监控系统）网络安全监控系统 （6 6）基于）基于WEBW

34、EB的防火墙管理系统的防火墙管理系统 4 4系统的实现系统的实现 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙第八章第八章 防火墙防火墙第一节防火墙的基本原理第一节防火墙的基本原理第二节防火墙的分类第二节防火墙的分类第三节第三节 防火墙体系结构防火墙体系结构第四节第四节 防火墙的发展趋势防火墙的发展趋势第八章第八章 防火墙防火墙一、防火墙体系结构1. 1. 双重宿主主机体系结构双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口，这样的主机算机至少有两个网络

35、接口，这样的主机可以充当与这些接口相连的网络之间的可以充当与这些接口相连的网络之间的路由器，并能够从一个网络向另一个网路由器，并能够从一个网络向另一个网络发送络发送IPIP数据包。数据包。 第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙一、防火墙体系结构1. 1. 双重宿主主机体系结构双重宿主主机体系结构第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙一、防火墙体系结构2. 2. 主机过滤体系结构主机过滤体系结构第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙一、防火墙体系结构3. 3. 子网过滤体系结构子网过滤体系结构第三节第三节

36、 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙二、防火墙的变化和组合一般有以下几种形式：一般有以下几种形式：使用多堡垒主机；使用多堡垒主机；合并内部路由器和外部路由器；合并内部路由器和外部路由器；合并堡垒主机与外部路由器；合并堡垒主机与外部路由器；合并堡垒主机与内部路由器；合并堡垒主机与内部路由器；合并多台内部路由器；合并多台内部路由器；合并多台外部路由器；合并多台外部路由器；使用多个参数网络；使用多个参数网络；使用双重宿主主机与子网过滤。使用双重宿主主机与子网过滤。第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙三、堡垒主机三、堡垒主机 设计和建立堡垒主机的基本

37、原则有两条：最简化设计和建立堡垒主机的基本原则有两条：最简化原则和预防原则。原则和预防原则。（1 1）最简化原则）最简化原则在堡垒主机上设置的服务必须最少，同时对必须设置在堡垒主机上设置的服务必须最少，同时对必须设置的服务软件只能给予尽可能低的权限。的服务软件只能给予尽可能低的权限。（2 2）预防原则）预防原则要尽量使堡垒主机不被破坏，但同时又必须时刻提防要尽量使堡垒主机不被破坏，但同时又必须时刻提防“它一旦被攻破怎么办？它一旦被攻破怎么办？”。一旦堡垒主机被破坏，。一旦堡垒主机被破坏，我们还得尽力让内部网络仍处于安全保障之中。我们还得尽力让内部网络仍处于安全保障之中。第三节第三节 防火墙体系

38、结构防火墙体系结构1. 1. 建立堡垒主机的一般原则建立堡垒主机的一般原则第八章第八章 防火墙防火墙三、堡垒主机三、堡垒主机2. 2. 堡垒主机的种类堡垒主机的种类 堡垒主机目前一般有三种类型：堡垒主机目前一般有三种类型：无路由无路由双宿主主机双宿主主机、牺牲主机牺牲主机和和内部堡垒主机。内部堡垒主机。 无路由双宿主主机有无路由双宿主主机有多个网络接口，但这些接多个网络接口，但这些接口间没有信息流。口间没有信息流。 牺牲主机是一种上面没牺牲主机是一种上面没有任何需要保护信息的主机，有任何需要保护信息的主机，同时它又不与任何入侵者想同时它又不与任何入侵者想利用的主机相连。利用的主机相连。 堡垒主

39、机可与某些内部主机堡垒主机可与某些内部主机进行交互。这些内部主机其实是进行交互。这些内部主机其实是有效的次级堡垒主机，对它们就有效的次级堡垒主机，对它们就应像堡垒主机一样加以保护。应像堡垒主机一样加以保护。 第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙三、堡垒主机三、堡垒主机3. 3. 堡垒主机的选择堡垒主机的选择 （1 1）堡垒主机操作系统的选择）堡垒主机操作系统的选择 应该选择较为熟悉的系统作为堡垒主应该选择较为熟悉的系统作为堡垒主机的操作系统。机的操作系统。第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙三、堡垒主机三、堡垒主机3. 3. 堡垒

40、主机的选择堡垒主机的选择 （2 2）堡垒主机速度的选择）堡垒主机速度的选择 作为堡垒主机的计算机并不要求有很高作为堡垒主机的计算机并不要求有很高的速度。选用功能并不十分强大的机器作为的速度。选用功能并不十分强大的机器作为堡垒主机反而更好。堡垒主机反而更好。第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙三、堡垒主机三、堡垒主机3. 3. 堡垒主机的选择堡垒主机的选择 （3 3）堡垒主机的硬件）堡垒主机的硬件 在选择堡垒主机及它的外围设备时，应在选择堡垒主机及它的外围设备时，应慎选产品；不可选太旧的产品；堡垒主机的慎选产品；不可选太旧的产品；堡垒主机的内存要大，并配置有足够的

41、交换空间。；需内存要大，并配置有足够的交换空间。；需要有较大的磁盘空间作为存储缓冲。要有较大的磁盘空间作为存储缓冲。第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙三、堡垒主机三、堡垒主机3. 3. 堡垒主机的选择堡垒主机的选择 （4 4）堡垒主机的物理位置）堡垒主机的物理位置 位置要安全位置要安全 堡垒主机在网络上的位置堡垒主机在网络上的位置第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙三、堡垒主机三、堡垒主机3. 3. 堡垒主机的选择堡垒主机的选择 （5 5）堡垒主机提供的服务）堡垒主机提供的服务 堡垒主机应当提供站点所需求的所有与堡垒主机应当提供

42、站点所需求的所有与互联网有关的服务，同时还要经过包过滤提互联网有关的服务，同时还要经过包过滤提供内部网络向外界的服务。任何与外部网络供内部网络向外界的服务。任何与外部网络无关的服务都不应放置在堡垒主机上。无关的服务都不应放置在堡垒主机上。第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙三、堡垒主机三、堡垒主机3. 3. 堡垒主机的选择堡垒主机的选择 我们将可以由堡垒主机提供的服务分成以下我们将可以由堡垒主机提供的服务分成以下四个级别。四个级别。无风险服务，仅仅通过包过滤便可实施的服务。无风险服务，仅仅通过包过滤便可实施的服务。低风险服务，在有些情况下这些服务运行时有低风险服务，在有些情况下这些服务运行时有安全隐患，但加以一些安全控制措施便可消除安安全隐患，但加以一些安全控制措施便可消除安全问题，这类服务只能由堡垒主机提供。全问题，这类服务只能由堡垒主机提供。高风险服务，在使用这些服务时无法彻底消除高风险服务，在使用这些服务时无法彻底消除安全隐患；这类服务一般应被禁用，特别需要时安全隐患；这类服务一般应被禁用，特别需要时也只能放置在主机上使用。也只能放置在主机上使用。禁用服务，应被彻底禁止使用的服务。禁用服务，应被彻底禁止使用的服务。第三节第