信息安全概论第18讲.ppt

1、在信息安全概论、第18届2008年x月y日、6.3.3防火墙的应用、实际应用中，防火墙技术的应用并不单一，而是结合多种技术构建防火墙的体系结构，实用高效的防火墙系统首先介绍堡垒主机的概念。 要塞主机如其名，位于内部网络的最外层，是像要塞一样保护内部网络的设备。 要塞主机是防火墙体系结构中暴露于互联网、最容易受到攻击的设备，因此必须特别关注其安全性。 1、防火墙架构，(1)掩蔽路由器架构是最简单的架构，掩蔽路由器(或主机)，它作为内外连接的唯一通道，对进出网络的数据进行分组过滤。 其结构参照附图，(2)双宿主主机结构，(2)双宿主主机结构双宿主主机是具有至少两个网络接口的主机，一个网络接口连接内

2、部网络， 另一网络接口连接外部网络的内部网络和外部网络不是直接的IP通信，而是通过双重宿主主机的过滤、转发方式进行通信，双重宿主主机向不同的服务提供代理。 双宿主主机发挥堡垒主机的作用，其弱点是主机的脆弱性，入侵者突破堡垒主机，只要将其作为路由器，外部网络的用户就可以直接访问内部网络。(2)双宿主主机结构，(3)掩蔽主机结构掩蔽主机结构=路由器隔离内部网络和外部网络代理服务器堡主机部署在内部网络上。 在路由器上设置分组过滤规则，使堡垒主机成为外部网络唯一可以访问的主机，用路由器的分组过滤技术和堡垒主机的代理服务器技术保护内部网络的安全。 屏蔽主机的防火墙体系结构容易实现，并且比双宿主主机体系结

3、构安全性高，应用广泛。 (2)双宿主主机结构，(4)掩蔽子网结构掩蔽子网结构防火墙通过构建外围网络将内部网络和外部网络隔开。 周边网络：所隔离的子网在内外之间形成“非军事化区”(DeMilitarized Zone，DMZ )的隔离带。 没有要塞主机的屏蔽子网：通过2个屏蔽路由器将外围网络分别与内部网络、外部网络分离，内部网络和外部网络可以访问外围网络。 不允许通过外围网络进行通信的堡垒带主机的屏蔽子网：在屏蔽子网上设置堡垒主机，为内部网络和外部网络之间的通信提供代理服务，但是对堡垒主机的访问必须通过2个屏蔽路由器。 如果攻击者试图完全破坏阻断子网结构的防火墙，则需要重新配置连接到外部网络、外

4、围网络和内部网络的路由器，这大大增加了攻击的难度。 如果进一步禁止路由器访问，或者只允许内部网络中的特定主机访问，则攻击将变得更加困难。 屏蔽子网结构的防火墙具有很高的安全性，但需要的设备很多，费用很高，实施和管理复杂。 2、防火墙的限制、(2)双宿主主机结构、防火墙只是一种边界安全保护系统，保证边界的所有出口都有防火墙的保护，形成网络边界内环境的保护。 防火墙只能保护边界内的环境，通信数据越过边界后，防火墙的保护就会丢失。 公司内部人员的攻击没有通过防火墙，所以防火墙也无法防护。 防火墙的配置是基于已知的攻击知识而建立的，因此无法保护新的攻击，需要频繁更新配置。 防火墙对通信内容的控制较弱，

5、因此对病毒、蠕虫、特洛伊木马等恶意代码的保护能力较弱。6.3.4防火墙的发展趋势，(2)双宿主主机结构，分布式防火墙通常位于网络边界上，为了解决无法监视、控制网络内部纠正计算机之间的访问的问题，提出了分布式防火墙的概念。 分布式防火墙是一种新的防火墙体系结构，在内外网络边界、内部网各子网之间、密钥主机等不同节点上分布式地配置防火墙，通过管理中心进行统一的监视、控制。 2 .网络安全技术的集成和融合传统的分组过滤技术仅检查TCP/IP分组的报头信息，不能检查分组内容中隐藏的恶意行为，例如垃圾邮件、不良信息、病毒、特洛伊木马程序等除了检查标题信息外，还引入模式识别、人工智能等技术，识别数据包的内容

6、，判断是否具有不良信息和恶意代码，阻止这些数据包通过防火墙。 另外，新的网络协议和服务的出现，也促进了防火墙技术相应的处理机构的发展。 由于IPv6的快速发展，网络边界变得更加复杂，基于IPv4的防火墙技术不一定能够满足需要。 防火墙技术是入侵检测技术、病毒对策，因为攻击技术不断变化，新的病毒、蠕虫、特洛伊木马程序等恶意代码陆续出现，单靠防火墙的单一技术无法满足网络安全需求与PKI等集成，变得更全面，3 .高性能硬件平台技术防火墙的访问和控制的矛盾也表现在安全性和效率上，一般安全性越高效率越低。 另一方面，网络传输速度越来越快，应用越来越丰富，防火墙作为网络边界的访问控制设备已成为性能瓶颈。 借助高性能、多处理器和并行处理硬件平台，有效提高防火墙的处理性能。 或者，通过修订新的防火墙专用硬件平台、技术体系结构，可以解决日益严重的安全性和效率矛盾。 作业，1 .防火墙的技术是什么？ 说明各种技术的特征，展示适用的场景。 2 .说明VPN的技术特征。 3假设攻击者可以通过外部