《网络安全和实训教程.电子教案4》.ppt

第4章 防火墙和虚拟专用网 4.1 防火墙概述 4.2 防火墙的体系结构 4.3 防火墙的实施方式 4.4 Cisco PIX防火墙 4.5 虚拟专用网（VPN） 4.1 防火墙概述 4.1.1 防火墙的概念 4.1.2 防火墙的功能 4.1.1 防火墙的概念 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间，并对经过它的网络流量进行检查的一系列部件的组合。 它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策（允许、拒绝或监测）控制出入网络的信息流，且本身具有较强的抗攻击能力。 4.1.1 防火墙的概念 防火墙实质上是一种隔离控制技术，其核心思想是在不安全的网络环境下构造一种相对安全的内部网络环境。 从逻辑上讲它既是一个分析器又是一个限制器，它要求所有进出网络的数据流都必须有安全策略的确认和授权，并将内外网络在逻辑上分离。 4.1.1 防火墙的概念 防火墙既可以是一台路由器、一台计算机，也可以是由多台主机构成的体系。 防火墙通常位于本地网络的边界（如本地网络站点与Internet的连接处），也能够被置于网络边界之内，专门保护一个私有网络，为一小批特定的主机提供额外的、特殊的保护。 4.1.2 防火墙的功能 1．防火墙是网络安全的屏障 2．防火墙可以强化网络安全策略 3．对网络存取和访问进行监控审计 4．防止内部信息外泄 4.1.2 防火墙的功能 在网络安全体系中使用防火墙一般有以下优点。 （1）经过适当配置，防火墙能够把通讯约束在管理决策所能接受的范围之内。 （2）防火墙可用于限制对某些特殊服务的访问。如，防火墙允许公众访问Web服务器，但禁止访问Telnet端口和其他非公开的域。 （3）防火墙功能专一，不必在安全性和可用性之间进行权衡妥协。 4.1.2 防火墙的功能 （4）防火墙有出色的审计功能。若有足够的磁盘空间或远程记录功能，防火墙能够存录所有经过的网络流量。 （5）防火墙可以向相关人员发出警告信息。 4.1.2 防火墙的功能 一般来说，使用防火墙有以下不足。 （1）防火墙不能防范经过授权的应用。如果一个经过授权的应用程序自身有错误，防火墙不能阻止由此引起的攻击。 4.1.2 防火墙的功能 （2）防火墙只能按其配置的规则进行有效的工作。 （3）防火墙不能修复脆弱的管理措施或设计有问题的安全策略。 （4）防火墙不能阻止那些不经过它的攻击。 4.2 防火墙的体系结构 4.2.1 包过滤 4.2.2 应用级网关 4.2.3 电路级网关 4.2.4 状态包检查 4.2.1 包过滤器 包过滤器具有防火墙的绝大多数基本功能。 这种包过滤机制对经过它的每一个数据包的头部进行检查，根据数据包头部含有的IP地址和协议所使用的端口信息，决定是将这些数据包转发到下一跳，还是丢弃数据包或者拒绝数据包。 4.2.1 包过滤器 包过滤的过程取决于防火墙上所定义的规则库，规则库包括：协议类型、源地址、目的地址、源端口、目的端口以及当数据包和规则库匹配时防火墙应采取的措施等。 表4.1是一个包过滤的例子。 4.2.1 包过滤器 4.2.1 包过滤器 包过滤策略的优点包括以下3点。 （1）需要的管理开销很少，对屏蔽设备的性能不会产生很大影响。 （2）价格相当便宜。 （3）对流量的管理较出色。 4.2.1 包过滤器 包过滤策略的缺点如下。 （1）允许外部网络直接连接到网络内部主机。 （2）它仅能在传输层（TCP或UDP）或者在网络层（ICMP或IP）检测网络流量，不能决定是否让其上层信息通过，使网络外围设备出现了许多安全漏洞。 （3）在复杂环境中难于管理和测量。 （4）没有用户身份验证机制。 4.2.2 应用级网关 应用级网关对信息的处理是在应用层进行的。 防火墙要支持应用程序，需要提供一个惟一的程序接受客户端应用程序的数据，并且作为中转站将数据发往目标服务器。 4.2.2 应用级网关 应用级网关对客户来说是一个服务器，对目标服务器来说是一个客户端。 防火墙会对应用程序的数据进行校验以保证其格式可以接受，能够过滤协议、进行身份验证和记录信息。 4.2.3 电路级网关 电路级网关的运行方式与应用级网关很相似，但它更多的是面向非交互式的应用程序。 用户通过了最初的身份验证后，电路级网关就允许用户穿过网关访问服务了，在此过程中，电路级网关只是简单地中转用户和目的服务器之间的连接而已。 4.2.3 电路级网关 电路级网关的典型例子就是代理服务器和SOCKS服务器。 电路级网关的工作方式是从受信任的网络发到不受信任的TCP连接进行中转。 在中转过程中，源IP地址被转换成电路级网关的地址，