第4讲 防火墙技术.ppt

防火墙技术 1.2 防火墙示意图 1.3 防火墙是什么 在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统. 1.4 防火墙特点 1.5 防火墙概念(1) 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski(Internet Security公司总裁）： 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，用来控制进/出两个方向的通信。 1.6 防火墙实现层次(4) 1.7 防火墙的基本功能模块(5) 1.10 防火墙的评价(1) 防火墙不可以防范什么? 防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务。 防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。 2.1 防火墙的种类 防火墙的存在形式：软件、硬件。 根据防范方式和侧重点的不同可分为四类： 包过滤 应用层代理 电路层代理 状态检查 主要有三种： (1). Intel X86架构工控机 (2). ASIC硬件加速技术 (3). 网络处理器（NP）加速技术 包过滤防火墙(1) 包过滤防火墙优缺点(5) 代理服务器(1) 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许通信直接经过外部网和内部网。 将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”，由两个终止代理服务器上的“ 链接”来实现. 外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 安全状态检查(1) 状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。 监测引擎：一个在网关上执行网络安全策略的软件模块 。 监测引擎采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。 当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 状态检测示意图(2) 状态检测的优缺点(3) 优点： 一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。 它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息。 缺点： 降低网络速度 配置比较复杂 防火墙的主要体系结构 防火墙的主要体系结构： 筛选路由器 双重宿主主机结构 屏蔽主机体系结构 屏蔽子网体系结构 其它的防火墙结构 双重宿主主机体系结构（1） 双重宿主主机体系结构是围绕双重宿主主机构筑的。(图下页!) 双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。因此IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。 两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。 结构图 屏蔽主机体系结构(3) 屏蔽子网体系结构（1） 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。 结构图 防火墙技术的回顾与展望 防火墙技术与产品回顾 第四代防火墙的主要技术与功能 防火墙发展现状 防火墙技术展望 防火墙产品发展的四个阶段(1) 基于路由器的防火墙 用户化的防火墙工具套件 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙 网络地址转换技术（NAT）(15) 如何选择防火墙 选择防火墙的标准有很多，但最重要的是以下几条： 　1、总拥有成本 2、防火墙本身是安全的 3、是硬件还是软件 4、可扩充性 5、升级能力 如何选择防火墙 国内的防火墙产品： 　1、天融信(最好，可以与IDS联动)， 2、联想网御系列防火墙 3、东软系列防火墙 IP