第五章防火墙技术.ppt

　1 防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。图 1为防火墙示意图。 　防火墙的发展简史 第一代防火墙：采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。 　设置防火墙的目的和功能 （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄 　防火墙的局限性 限制有用的网络服务。 无法防护内部网用户的攻击。 防火墙无法防范通过防火墙以外的其他途径的攻击。 防火墙也不能完全防止传送已感染病毒的软件或文件。 防火墙无法防范数据驱动型的攻击。 不能防备新的网络安全问题。 　2 防火墙技术发展动态和趋势 （1）优良的性能 （2）可扩展的结构和功能 （3）简化的安装与管理 （4）主动过滤 （5）防病毒与防黑客 1．应用级代理 应用级代理有两种情况，一种是内部网通过代理访问外部网。另一种情况是，外部网通过代理访问内部网。 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略，它会对应用程序的数据进行校验以确保数据格式可以接受。 提供代理应用层网关主要有以下优点。 （1）应用层网关有能力支持可靠的用户认证并提供详细的注册信息。 （2）应用层的过滤规则相对于包过滤路由器来说更容易配置和测试。 （3）代理工作在客户机和真实服务器之间，完全控制会话，所以可以提供很详细的日志和安全审计功能。 （4）提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机，这样可以隐藏内部网的IP地址，可以保护内部主机免受外部网的进攻。 （5）通过代理访问Internet，可以解决合法的IP地址不够用的问题。 * * 防火墙技术 图 1　防火墙示意图 图 2　防火墙技术的简单发展历史 3 防火墙的体系结构 防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。 3.1 包过滤型防火墙 包过滤型防火墙的核心技术就是安全策略设计即包过滤算法的设计。 图 5 包过滤型防火墙 包过滤型防火墙具有以下优点。 （1）处理包的速度比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序或改变自己的行为。 （2）实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。 （3）包过滤路由器对用户和应用来讲是透明的。 包过滤型防火墙存在以下的缺点。 （1）防火墙的维护比较困难，定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。 （2）只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可阻止。 （3）任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。 （4）一些包过滤网关不支持有效的用户认证。 （5）不可能提供有用的日志，或根本就不提供，这使用户发觉网络受攻击的难度加大，也就谈不上根据日志来进行网络的优化、完善以及追查责任。 （6）随着过滤器数目的增加，路由器的吞吐量会下降。 （7）IP包过滤器无法对网络上流动的信息提供全面的控制。 （8）允许外部网络直接连接到内部网络的主机上，易造成敏感数据的泄漏。 包过滤路由器常见的攻击有以下几种。 （1）源IP地址欺骗式攻击。 （2）源路由攻击。 （3）极小数据段式攻击。 3.2 多宿主主机（多宿主网关）防火墙 多宿主主机拥有多个网络接口，每一个接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同的子网，不同子网之间的相互访问实施不同的访问控制策略。 图 6 双宿主机防火墙 双宿主主机防火墙采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行寻径。 双宿主主机防火墙的最大特点是IP层的通信被阻止，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成，而不能直接通信。 图 8 运行代理服务器的双宿主机 使用双宿主主机作为防火墙，防火墙本身的安全性至关重要。 3.