计算机网络安全ch05.pdf

第5章 防火墙技术与配置 本章要点 防火墙的概念、类型、目的与作用 防火墙的设计与创建 基于防火墙的安全网络结构 Cisco 硬件防火墙配置与管理 费尔个人防火墙管理与配置 5.1 网络防火墙概述 5.1.1 网络防火墙基本概念 防火墙是什么？建筑在山林中的房子大部分是土木结构，防火性能较差。为了防止林 中的山火把房子烧毁，每座房子在其周围用石头砌一座墙作为隔离带，这就是本意上的防 火墙。防火墙的原意是指在容易发生火灾的区域与拟保护的区域之间设置的一堵墙，将火 灾隔离在保护区之外，保证拟保护区内的安全。 网络防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在一个 可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置，强制所有的访问和 连接都必须经过这个保护层，并在此进行连接和安全检查。只有合法的数据包才能通过此 保护层，从而保护内部网资源免遭非法入侵。 下面说明与防火墙有关的概念。 (1) 主机：与网络系统相连的计算机系统。 (2) 堡垒主机：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主 要连接点，所以很容易被侵入，因此必须严密保护保垒主机。 (3) 双宿主主机：又称双宿主机或双穴主机，是具有两个网络接口的计算机系统。 (4) 包：在互联网上进行通信的基本数据单位。 (5) 包过滤：设备对进出网络的数据流(包)进行有选择的控制与操作。通常是对从外部 网络到内部网络的包进行过滤。用户可设定一系列的规则，指定允许(或拒绝)哪些类型的 数据包流入(或流出) 内部网络。 (6) 参数网络：为了增加一层安全控制，在内部网与外部网之间增加的一个网络，有 时也称为中立区，即DMZ(Demilitarized Zone) 。 (7) 代理服务器：代表内部网络用户与外部服务器进行数据交换的计算机(软件)系 统，它将已认可的内部用户的请求送达外部服务器，同时将外部网络服务器的响应再回 送给用户。 ·100 · 计算机网络安全技术 5.1.2 网络防火墙的目的与作用 构建网络防火墙的主要目的如下所述。 (1) 限制访问者进入一个被严格控制的点。 (2) 防止进攻者接近防御设备。 (3) 限制访问者离开一个被严格控制的点。 (4) 检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏。 网络防火墙的主要作用如下所述。 (1) 有效地收集和记录互联网上的活动和网络误用情况。 (2) 能有效隔离网络中的多个网段，防止一个网段的问题传播到另外网段。 (3) 防火墙作为一个安全检查站，能有效地过滤、筛选和屏蔽有害的信息和服务。 (4) 防火墙作为一个防止不良现象发生的“警察”，能执行和强化网络的安全策略。 5.2 防火墙的类型 从所采用的技术上看，防火墙有 6 种基本类型：①包过滤型；②代理服务器型；③电 路层网关；④混合型；⑤应用层网关；⑥自适应代理技术。 5.2.1 包过滤型防火墙 包过滤型防火墙(Packet Filter Firewall)中的包过滤器一般安装在路由器上，工作在网络 层(IP) 。它基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、TCP/UDP 、 源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户 预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发 或丢弃，即实施信息过滤。实际上，它一般允许网络内部的主机直接访问外部网络，而外 部网络上的主机对内部网络的访问则要受到限制。 在互联网上提供某些特定服务器一般都使用相对固定的端口号。因此路由器在设置包 过滤规则时指定：对于某些端口号允许数据包与该端口交换，或者阻断数据包与它们的 连接。 这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，但缺乏 用户日志(Log)和审计信息(Audit)，缺乏用户认证(CA)机制，不具备审核管理，且过滤规则 的完备性难以得到检验，复杂过滤规则的管理也比较困