第10章 火墙技术.ppt

第10章 防火墙技术 10.1 防火墙的基本概念 10.2 防火墙的类型及主要技术 10.3 防火墙的体系结构 10.4 典型的防火墙产品 10.5 防火墙技术的发展趋势 本章学习目标 （1）了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 （2）掌握包过滤防火墙、代理防火墙的工作原理、技术特点和实现方式；熟悉防火墙的常见体系结构。 （3）熟悉典型的防火墙的产品。 10.1　防火墙的基本概念 10.1.1　防火墙的概念 10.1.2　防火墙的功能 10.1.3　防火墙的局限性 10.1.4　防火墙的发展历史 何谓防火墙 防火墙的角色——大门警卫 10.1.1　防火墙的概念 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，达到保护系统安全的目的。防火墙是控制外部用户访问内部网络的第一道关口。 防火墙的设计思想就是在内部、外部两个网络之间建立一个具有安全控制机制的安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，来实现对内部网服务和访问的安全审计和控制。需要指出的是，防火墙虽然可以在一定程度上保护内部网的安全，但内部网还应有其他的安全保护措施，这是防火墙所不能代替的。 10.1.2 设置防火墙的功能 （1）集中化的安全管理，强化安全策略 由于Internet上每天都有上百万人在 那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。 （2）网络日志及使用统计 因为防火墙是所有进出信息必须通路，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录，对网络存取访问进行和统计。 （3）保护那些易受攻击的服务 防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 （4）增强的必威体育官网网址 用来封锁有关网点系统的DNS信息。因此，网点系统名字和IP地址都不要提供给Internet。 （5）实施安全策略 防火墙是一个安全策略的检查站，控制对特殊站点的访问。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 10.1.3 防火墙的局限性 (1)不能防范来自内部恶意的知情者的攻击 防火墙不能防止专用网中内部用户对资源的攻击。它只是设在专用网和Internet之间，对其间的信息进行干预的安全设施。防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在 公文包中带出去。 (2)不能防范不通过它的连接 只对所有通过防火墙的进行Internet数据流进行处理，才能发挥防火墙的作用。防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与Internet连通，则得不到防火墙的保护。 (3)防火墙不能防范病毒 一般防火墙不对专用网提供防护外部病毒的侵犯。病毒可以通过FTP或其它工具传至专用网。如果要实现这种防护，防火墙中应设置检测病毒的逻辑。 (4)不能防备全部的威胁 防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 10.1.4 防火墙的发展简史 第一代防火墙：采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。 10.2 防火墙的类型及主要技术 1.从软、硬件形式上分为： （1）软件防火墙：运行于特定的计算机上，这台计算机就是整个网络的网关。 （2）硬件防火墙：基于PC架构，在这些PC架构计算机上运行一些经过裁剪和简化的操作系统。采用的依然是别人的内核，依然会受到OS本身的安全性影响。 （3）芯片级防火墙：基于专门的硬件平台，没有操作系统。转悠的ASIC芯片使它们比其他类的防火墙速度快，处理能力更强，性能更好。 2.按防火墙的部署位置分类，防火墙可以分为： （1）边界防火墙 边界防火墙是最为传统的那种，它们位于内外网的边界，所起的作用是对内、外部网络实施隔离，这类防火墙一般都是硬件类型，价格较贵，性能较好。 （2）个人防火