第4章网络安全防护技术讲述.pptx

第4章 网络安全防护技术作者：孟显勇清华大学出版社 电子商务安全管理与支付 1. 防火墙的定义 防火墙的最初得名是古时候为防止火灾蔓延在房屋之间砌起的一道墙，而网络系统中的防火墙是内部网络与外部网络之间的安全隔离系统，用来阻挡外部网络对内部网络的威胁与入侵。 防火墙由计算机软件和硬件组成，主要负责内部网络和外部网络之间的安全通信，可以限制外部网络用户对内部网络的访问，以及可以限制内部用户访问外部网络的行为和权限。防火墙的实质是建立在内部网络与外部网络之间的安全防御系统，主要具有以下属性： · 进出网络的数据必须经过防火墙，防火墙设置在需要安全防护的网络间和安全域间。 · 符合防火墙安全防护规则的数据才能通过防火墙。 · 防火墙系统具有抵抗各种网络攻击的能力。 · 防火墙位于两个或多个网络或安全域之间，是实施访问控制策略的一组软件和硬件集合。 4.1 防火墙技术4.1.1 防火墙概述 2. 防火墙的位置 4.1 防火墙技术4.1.1 防火墙概述 防火墙在网络中的常见位置 根据不同的分类标准，防火墙可以分为多种类型，其中主要包括：包过滤防火墙、代理服务防火墙、混合型防火墙、状态检测防火墙。 4.1 防火墙技术4.1.2 防火墙的基本类型 1. 包过滤防火墙 包过滤是防火墙的核心功能之一，防火墙的包过滤标准依赖于防火墙的安全策略，通常防火墙的安全策略由网络管理员预置在防火墙设备的ACL（Access Control List，访问控制列表）中，防火墙根据ACL规则对网络数据流进行过滤，阻止不符合安全策略的通信。 （1）包过滤原理 网络通信的数据包分为报头和数据两个部分。报头的内容主要包括封装协议、IP源地址、IP目标地址、ICMP消息类型、TCP和UDP目标端口、TCP报头中的ACK位等。而数据的内容是各种网络应用的通信数据。网络通信系统中的路由器就是根据数据包的IP目标地址选择合适的路由，将数据包发送给目标机器。 4.1 防火墙技术4.1.2 防火墙的基本类型 （2）包过滤防火墙的优点 包过滤防火墙具有操作简单、运行高效、易于安装和使用等特点，通常包过滤防火墙内嵌在路由器中对通信数据包实施过滤。路由器是网络互联的关键节点设备，因此在路由器中内嵌包过滤功能几乎不需要任何额外的费用。 包过滤防火墙的优点主要体现在下面几个方面： · 包过滤防火墙不会影响到应用程序的正常运行。 · 包过滤防火墙可以保护整个内网安全。 · 包过滤防火墙对于用户是透明的。 · 包过滤防火墙具有良好的网络性能。 4.1 防火墙技术4.1.2 防火墙的基本类型 （3）包过滤防火墙的缺点 包过滤防火墙主要缺点是安全性较差、功能相对单一以及不能防止地址欺骗等。 · 包过滤防火墙的安全性较差。 · 包过滤防火墙对个别协议并不支持，例如UDP协议、RPC协议，并且包过滤防火墙缺乏审计和报警机制，另外，无法提供完整的安全策略服务，例如，数据包的报头信息只能说明数据包的来源主机，而不能确定用户、端口或应用程序。 · 包过滤防火墙不能防止地址欺骗。 4.1 防火墙技术4.1.2 防火墙的基本类型 2. 代理服务型防火墙 （1）代理服务型防火墙概述 代理服务型防火墙是利用代理服务器将内部网络和外部网络分开，在数据通过代理服务器时利用防火墙对进出网络的数据进行安全检测，并阻止各类网络攻击。代理服务器基于应用层实现代理服务，访问外网的用户首先向代理服务器发出连接请求，代理服务器对其进行验证，然后将验证后的请求转发给外网服务器，外网服务器将应答交给代理服务器，经代理服务器检测后发送给请求用户。 4.1 防火墙技术4.1.2 防火墙的基本类型 （2）应用层网关防火墙 应用层网关防火墙是典型的代理服务型防火墙，运行于网络协议的应用层，实现数据包的过滤和转发功能。应用层网关防火墙针对于特定的网络应用服务协议采用指定的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成检测报告。 应用层网关防火墙的核心是代理服务器，其主要功能是基于网络协议的应用层实现协议的过滤和转发。外部网络用户访问内部网络时，应用层网关防火墙首先会对数据包进行过滤，同时对数据包进行必要的分析、登记和统计，并形成检查报告。 4.1 防火墙技术4.1.2 防火墙的基本类型 （3）电路级网关防火墙 电路级网关防火墙，也称TCP通道防火墙。在电路级网关防火墙中，数据包被提交给用户的应用层进行处理，电路级网关用来在两个通信终端之间转换数据包。 电路级网关防火墙与包过滤防火墙都是依靠特定的逻辑来判断是否允许数据包通过，但是两者之间存在明显的区别，即包过滤防火墙允许内、外网之间的计算机直接建立连接，而电路级网关防火墙则禁止它们直接建立端到端的TCP连接，而是要以防火墙为中转设备分别建立连接