网络安全,防火墙技术

1、网络平安与管理 第8章 防火墙技术.本章学习目的 防火墙及相关概念 包过滤与代理 防火墙的体系构造 分布式防火墙与嵌入式防火墙 .8.1 防火墙概述8.1.1 相关概念8.1.2 防火墙的作用8.1.3 防火墙的优、缺陷.8.1.1 相关概念防火墙的概念防火墙Firewall是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保证着内部网络的平安。 .8.1.1 相关概念其它概念:外部网络外网内部网络内网非军事化区DMZ包过滤代理效力器形状检测技术虚拟公用网VPN破绽数据驱动攻击IP地址欺骗.8.1.1 相关概念防火墙平安战略一个防火墙应该运用以下两种根本战略中的

2、一种: 除非明确允许，否那么就制止 除非明确制止，否那么就允许.8.1.2 防火墙的作用防火墙的根本功能从总体上看，防火墙应具有以下根本功能：可以限制未授权用户进入内部网络，过滤掉不平安效力和非法用户；防止入侵者接近内部网络的防御设备，对网络攻击进展检测和告警；限制内部用户访问特殊站点；记录经过防火墙的信息内容和活动，监视Internet平安提供方便。 .8.1.3 防火墙的优、缺陷1优点 防火墙是加强网络平安的一种有效手段，它有以下优点：防火墙能强化平安战略；防火墙能有效地记录Internet上的活动；防火墙是一个平安战略的检查站。.8.1.3 防火墙的优、缺陷2缺陷 有人以为只需安装了防火

3、墙，一切的平安问题就会迎刃而解。但现实上，防火墙并不是万能的，安装了防火墙的系统依然存在着平安隐患。以下是防火墙的一些缺陷：不能防备恶意的内部用户；不能防备不经过防火墙的衔接；不能防备全部的要挟；防火墙不能防备病毒；.8.2 防火墙技术分类8.2.1 包过滤技术8.2.2 代理技术8.2.3 防火墙技术的开展趋势.8.2.1 包过滤技术 包过滤Packet Filtering技术在网络层中对数据包实施有选择的经过，根据系统事先设定好的过滤规那么，检查数据流中的每个包，根据包头信息来确定能否允许数据包经过，回绝发送可疑的包。 .8.2.1 包过滤技术包过滤防火墙具有明显的优点： 一个屏蔽路由器能

4、维护整个网络 包过滤对用户透明 屏蔽路由器速度快、效率高 .8.2.1 包过滤技术包过滤防火墙的缺陷： 它没有用户的运用记录，这样就不能从访问记录中发现黑客的攻击记录 没有一定的阅历，是不能够将过滤规那么配置得完美 不能在用户级别上进展过滤，只能以为内部用户是可信任的、外部用户是可疑的 .8.2.1 包过滤技术包过滤防火墙的开展阶段 第一代：静态包过滤防火墙 第二代：动态包过滤Dynamic Packet Filter防火墙 第三代：全形状检测Stateful Inspection防火墙 第四代：深度包检测Deep Packet Inspection防火墙.8.2.2 代理技术所谓代理效力器，

5、是指代表内网用户向外网效力器进展衔接恳求的效力程序。代理效力器运转在两个网络之间，它对于客户机来说像是一台真的效力器，而对于外网的效力器来说，它又是一台客户机。代理效力器的根本任务过程是：当客户机需求运用外网效力器上的数据时，首先将恳求发给代理效力器，代理效力器再根据这一恳求向效力器索取数据，然后再由代理效力器将数据传输给客户机。.8.2.2 代理技术代理的优点代理易于配置代理能生成各项记录代理能灵敏、完全地控制进出信息代理能过滤数据内容.8.2.2 代理技术代理的缺陷：代理速度比路由器慢代理对用户不透明对于每项效力，代理能够要求不同的效力器代理效力通常要求对客户或过程进展限制代理效力受协议弱

6、点的限制代理不能改良底层协议的平安性.8.2.2 代理技术代理防火墙的开展阶段：运用层代理Application Proxy电路层代理Circuit Proxy自顺应代理Adaptive Proxy.8.2.3 防火墙技术的开展趋势 代理效力器在对运用层的数据过滤方面才干优于包过滤防火墙，但是在性能方面的表现就会大大逊色。总体来说，传统的防火墙曾经无法满足人们的平安需求，其功能缺乏以应付众多的平安要挟。 开展趋势： 功能交融 集成化管理 分布式体系构造 .8.3 防火墙体系构造8.3.1 双重宿主主机构造8.3.2 屏蔽主机构造8.3.3 屏蔽子网构造8.3.4 防火墙的组合构造.8.3.1

7、双重宿主主机构造双重宿主主机构造是围绕双宿主机来构筑的。双宿主机Dual-homed host，又称堡垒主机Bastion host，是一台至少配有两个网络接口的主机，它可以充任与这些接口相连的网络之间的路由器，在网络之间发送数据包。普通情况下双宿主机的路由功能是被制止的，这样可以隔离内部网络与外部网络之间的直接通讯，从而到达维护内部网络的作用。 .8.3.1 双重宿主主机构造双重宿主主机构造.8.3.2 屏蔽主机构造屏蔽主机构造Screened Host Gateway，又称主机过滤构造。屏蔽主机构造需求配备一台堡垒主机和一个有过滤功能的屏蔽路由器；屏蔽路由器衔接外部网络，堡垒主机安装在内部

8、网络上；通常在路由器上设立过滤规那么，并使这个堡垒主机成为从外部网络独一可直接到达的主机；入侵者要想入侵内部网络，必需过屏蔽路由器和堡垒主机两道屏障，所以屏蔽主机构造比双重宿主主机构造具有更好的平安性和可用性。.8.3.2 屏蔽主机构造屏蔽主机构造.8.3.3 屏蔽子网构造屏蔽子网构造Screened Subnet，它是在屏蔽主机构造的根底上添加额外的平安层，即经过添加周边网络即屏蔽子网更进一步地把内部网络与外部网络隔分开。屏蔽子网构造包含外部和内部两个路由器。两个屏蔽路由器放在子网的两端，在子网内构成一个“非军事区DMZ。 .8.3.3 屏蔽子网构造屏蔽子网构造.8.3.4 防火墙的组合构造

9、建造防火墙时，普通很少采用单一的构造，通常是多种构造的组合。普通有以下几种方式： 运用多堡垒主机； 合并内部路由器与外部路由器； 合并堡垒主机与外部路由器； 合并堡垒主机与内部路由器； 运用多台内部路由器； 运用多台外部路由器； 运用多个周边网络； 运用双重宿主主机与屏蔽子网。.8.4 内部防火墙8.4.1 分布式防火墙Distributed Firewall8.4.2 嵌入式防火墙Embedded Firewall8.4.3 个人防火墙.8.4.1 分布式防火墙分布式防火墙是一种全新的防火墙概念，是比较完善的一种防火墙技术，它是在边境防火墙的根底上开发的，目前主要以软件方式出现。分布式防火墙

10、是一种主机驻留式的平安系统，用以维护内部网络免受非法入侵的破坏。分布式防火墙把Internet和内部网络均视为“不友好的，对一切的信息流进展过滤与限制，无论是来自Internet，还是来自内部网络。它们对个人计算机进展维护的方式好像边境防火墙对整个网络进展维护一样。 .8.4.1 分布式防火墙分布式防火墙体系构造分布式防火墙包含以下三个部分：网络防火墙Network Firewall主机防火墙Host Firewall中心管理Central Management.8.4.1 分布式防火墙分布式防火墙的主要特点 主机驻留 嵌入操作系统内核 类似于个人防火墙 适用于效力器托管.8.4.1 分布式防

11、火墙分布式防火墙的优势 加强的系统平安性 提高了系统性能 系统的扩展性 运用更为广泛，支持VPN通讯 .8.4.2 嵌入式防火墙目前分布式防火墙主要是以软件方式出现的，也有一些网络设备开发商如3COM、CISCO等开发消费了硬件分布式防火墙，做成PCI卡或PCMCIA卡的方式，将分布式防火墙技术集成在硬件上普通可以兼有网卡的功能，通常称之为嵌入式防火墙。嵌入式防火墙的代表产品是3Com公司的3Com 10/100平安效力器网卡3Com 10/100 Secure Server NIC、3Com 10/100平安网卡3Com 10/100 Secure NIC以及3Com公司嵌入式防火墙战略效力器3Com Embedded Firewall Policy Server。.8.4.3 个人防火墙个人防火墙是安装在个人计算机里的一段程序，把个人计算机和Internet分隔开。它检查进出防火墙的一切数据包，决议该拦截这个包还是将其放行。在不妨碍正常上网阅读的同时，阻止Internet上的其他用户对个人计算机进展的非法访问。 .8.5 防火墙产品引见8.5.1 FireWall-18.5.2 天网防火墙.8.5.1 FireWall-1 Check Point公司的系列防火墙产品可用于各种平台上，其中Firewall-1是最为流行、