计算机网络安全技术- 课件 王艳军 第5章 防火墙与VPN技术

防火墙的定义一、防火墙的定义古时候，人们常在寓所之间砌起一道砖墙，一旦发生火灾，它能够防止火势蔓延到别处。如果一个网络连接到了Internet上面，那么它的用户就可以访问外部网络并与之通信。但同时，外部网络也同样可以访问该网络并与之交互。为了安全起见，可以在该网络和Internet之间插入一个中介系统，建立一道安全屏障。这道屏障用于阻断外部网络对本网络的威胁和入侵，将作为扼守本网络安全的关卡，它的作用与古时候的防火砖墙有类似之处，因此我们把这个屏障叫作“防火墙”。一、防火墙的定义在网络中，所谓“防火墙”是指一种将内部网络和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术，属于经典的静态安全技术，用于逻辑隔离内部网络与外部网络。防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是内部网络和外部网络之间的桥梁，同时会对进出网络的数据进行保护，以防止恶意入侵、恶意代码的传播等，保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术，几乎所有企业都会在内部网络与外部网络（如Internet）相连接的边界放置防火墙。防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为的作用，它是不同网络或网络安全域之间信息的唯一出入口，如图6.1所示。一、防火墙的定义防火墙遵循的基本准则有两条。第一，它会拒绝所有未经允许的命令。防火墙的审查是基础的逐项审阅，任何一个服务请求和应用操作都将被逐一审查，只有符合允许条件的命令后才可能被执行，这为保证内部计算机安全提供了切实可行的办法。反言之，用户可以申请的服务和服务数量是有限的，防火墙在提高了安全性的同时也减弱了可用性。第二，它会允许所有未拒绝的命令。防火墙在传递所有信息的时候都是按照约定的命令执行的，也就是在逐项审查后会拒绝存在潜在危害的命令，因为可用性优于安全性，从而导致安全性难以把控。感谢您的观看主讲崔升广ThankYOU!防火墙的功能主讲崔升广一、防火墙的功能防火墙是“木桶”理论在网络安全中的应用。网络安全概念中有一个“木桶”理论：一个桶能装的水量不取决于桶有多高，而取决于组成该桶的最短的那块木板的高度。在一个没有防火墙的环境里，网络的安全性只能体现为每一个主机的功能，所有主机必须通力合作，才能使网络具有较高程度的安全性。而防火墙能够简化安全管理，使得网络的安全性可在防火墙系统上得到提高，而不是分布在内部网络的所有主机上。在逻辑上，防火墙是分离器，也是限制器，更是一个分析器，有效地监控了内部网络和外部网络之间的任何活动，保证了内部网络的安全。典型的防火墙具有以下3个方面的基本特性。一、防火墙的功能（1）内部网络和外部网络之间的所有数据流都必须经过防火墙。防火墙安装在信任网络（内部网络）和非信任网络（外部网络）之间，它可以隔离非信任网络（一般指的是Internet）与信任网络（一般指的是内部局域网络）的连接，同时不会妨碍用户对非信任网络的访问。内部网络和外部网络之间的所有数据流都必须经过防火墙，因为只有防火墙是内部、外部网络之间的唯一通信通道，才可以全面、有效地保护企业内部网络不受侵害。（2）只有符合安全策略的数据流才能通过防火墙。部署防火墙的目的就是在网络连接之间建立一个安全控制屏障，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。防火墙最基本的功能是根据企业的安全规则控制（允许、拒绝、监测）出入网络的信息流，确保网络流量的合法性，并在此前提下将网络流量快速地从一条链路转发到另外的链路上。（3）防火墙自身具有非常强的抗攻击能力。防火墙自身具有非常强的抗攻击能力，它承担了企业内部网络安全防护重任。防火墙处于网络边界，就像一个边界卫士一样，每时每刻都要抵御黑客的入侵，因此要求防火墙自身具有非常强的抗攻击入侵的能力。一、防火墙的功能防火墙除了具备上述3个方面的基本特性外，一般来说，还具有以下几个方面的功能。（1）支持NAT。防火墙可以作为部署NAT的逻辑地址，因此防火墙可以用来解决地址空间不足的问题，并避免机构在变换ISP时带来的需要重新编址的麻烦。（2）支持虚拟专用网（VPN，VirtualPrivateNetwork）。防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN可将企事业单位在地域上分布在全世界各地的局域网或专用子网有机地互联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。（3）支持用户制定的各种访问控制策略。（4）支持网络存取和访问进行的监控审计。（5）支持身份认证等功能。感谢您的观看主讲崔升广ThankYOU!防火墙的优缺点主讲崔升广一、防火墙的优缺点①增强了网络安全性。防火墙可防止非法用户进入内部网络，减少其中主机的风险。②提供集中的安全管理。防火墙对内部网络实行集中的安全管理，通过制定安全策略，其安全防护措施可运行于整个内部网络系统中而无须在每个主机中分别设立。同时还可将内部网络中需改动的程序都存于防火墙中而不是分散到每个主机中，便于集中保护。③增强了保密性。防火墙可阻止攻击者获取攻击网络系统的有用信息。④提供对系统的访问控制。防火墙可提供对系统的访问控制，例如，允许外部用户访问某些主机，同时禁止访问另外的主机；允许内部用户使用某些资源而不能使用其他资源等。⑤能有效地记录网络访问情况。因为所有进出信息都必须通过防火墙，所以非常便于收集关于系统和网络使用或误用的信息。（1）防火墙的优点一、防火墙的优缺点①防火墙不能防范来自内部的攻击。防火墙对内部用户偷窃数据、破坏硬件和软件等行为无能为力。②防火墙不能防范未经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查，如个别内部网络用户绕过防火墙进行拨号访问等。③防火墙不能防范策略配置不当或错误配置带来的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据相关规定来执行安全防护操作，而不能自作主张。④防火墙不能防范未知的威胁。防火墙能较好地防范已知的威胁，但不能自动防范所有新的威胁。（2）防火墙的缺点感谢您的观看主讲崔升广ThankYOU!防火墙端口区域及控制策略主讲崔升广一、防火墙端口区域及控制策略防火墙是设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。这是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击力，它是提供信息安全服务、实现网络和信息安全的基础设施。一、防火墙端口区域及控制策略（1）Trust（内部，局域网），连接内部网络。（2）Untrust（外部，Internet），连接外部网络，一般指的是Internet。（3）隔离区（DemilitarizedZone，DMZ），也称非军事化区域，DMZ中的系统通常为提供对外服务的系统，如Web服务器、FTP服务器、E-mail服务器等；可增强Trust区域中设备的安全性；有特殊的访问策略；Trust区域中的设备也会对DMZ中的系统进行访问，如图6.2所示。1．防火墙端口区域一、防火墙端口区域及控制策略（1）内部网络可以访问DMZ，方便用户使用和管理DMZ中的服务器。（2）外部网络可以访问DMZ中的服务器，同时需要由防火墙完成外部地址到服务器实际地址的转换。（3）DMZ不能访问外部网络。此条策略也有例外，例如，如果DMZ中放置E-mail服务器，就需要访问外部网络，否则它将不能正常工作。2．DMZ常规访问控制策略感谢您的观看主讲崔升广ThankYOU!防火墙使用技术分类主讲崔升广一、防火墙使用技术分类第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术，如图6.3所示。由于多数路由器中本身就支持分组过滤功能，因此网络访问控制可通过路由控制来实现，从而具有分组过滤功能的路由器成为第一代防火墙。1．包过滤防火墙一、防火墙使用技术分类它也称为应用网关防火墙，第二代防火墙工作在应用层上，能够根据具体的应用对数据进行过滤或者转发，也就是人们常说的代理服务器、应用网关。这样的防火墙彻底隔断了内部网络与外部网络的直接通信，内部网络用户对外部网络的访问变成防火墙对外部网络的访问，然后由防火墙把访问的结果转发给内部网络用户。2．代理防火墙一、防火墙使用技术分类它是基于动态包过滤技术的防火墙，也就是目前所说的状态检测防火墙技术。对于TCP连接，每个可靠连接的建立都需要经过3次握手，这时的数据包并不是独立的，它们前后之间有着密切的状态联系。状态检测防火墙将基于这种连接过程，根据数据包状态变化来决定访问控制的策略，如图6.4所示。3．状态检测防火墙一、防火墙使用技术分类复合型防火墙结合了代理防火墙的安全性和包过滤防火墙的高速等优点，实现了第三层至第七层自适应的数据转发。4．复合型防火墙一、防火墙使用技术分类随着网络应用的高速增多和移动应用的爆发式出现，发生在应用网络中的安全事件越来越多，过去简单的网络攻击也完全转变为以混合攻击为主，单一的安全防护措施已经无法有效地解决企业面临的网络安全问题。随着网络带宽的增加，网络流量也变得越来越大，要对大流量进行应用层的精确识别，防火墙的性能必须更高，下一代防火墙就是在这种背景下出现的。为应对当前与未来的网络安全威胁，防火墙必须具备一些新的功能，如具有基于用户的高性能并行处理引擎，一些企业把具有多种功能的防火墙称为下一代防火墙。5．下一代防火墙感谢您的观看主讲崔升广ThankYOU!VPN技术的概述主讲崔升广一、VPN技术的概述VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。在传统的企业网络配置中，要进行远程访问，传统的方法是租用数字数据网专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。一、VPN技术的概述VPN是指通过综合利用访问控制技术和加密技术，并通过一定的密钥管理机制，在公共网络中建立起安全的“专用”网络，保证数据在“加密管道”中进行安全传输的技术。VPN可以利用公共网络来发送专用信息，形成逻辑上的专用网络，其目标就是在不安全的公共网络上建立一个安全的专用通信网络。VPN利用公共网络来构建专用网络，它是将特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。通常将VPN当作广域网WAN解决方案，但它也可以简单地用于局域网LAN。VPN类似于点到点直接拨号连接或租用线路连接，尽管它是以交换和路由的方式工作的。1．VPN定义一、VPN技术的概述VPN是平衡Internet适用性和价格优势的最有前途的通信手段之一。利用共享的IP网络建立VPN连接，可以使企业减少对昂贵租用线路和复杂远程访问方案的依赖性，VPN具有以下几个方面的特点。（1）安全性。用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。（2）专用性。在非面向连接的公用IP网络中建立一个逻辑的，点对点的连接，称为建立一个隧道。隧道的双方进行数据的加密传输，就好像真正的专用网络一样。（3）经济性。它可以使