第5章_防火墙技术(计算机网络基础与应用).ppt

第5章 防火墙技术 ???????? 防火墙及相关概念 ????????? 包过滤与代理 ????????? 防火墙的体系结构 ????????? 分布式防火墙与嵌入式防火墙 5.1 防火墙概述 3. 防火墙安全策略 （1）除非明确允许，否则就禁止 这种方法堵塞了两个网络之间的所有数据传输，除了那些被明确允许的服务和应用程序。因此，应该逐个定义每一个允许的服务和应用程序，而任何一个可能成为防火墙漏洞的服务和应用程序都不能允许使用。这是一个最安全的方法，但从用户的角度来看，这样可能会有很多限制，不是很方便。一般在防火墙配置中都会使用这种策略。 （2）除非明确禁止，否则就允许 这种方法允许两个网络之间所有数据传输，除非那些被明确禁止的服务和应用程序。因此，每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法，它却可能存在严重的安全隐患。 5.1.2 防火墙的作用 （1）可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户； （2）防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警； （3）限制内部用户访问特殊站点； （4）记录通过防火墙的信息内容和活动，监视Internet安全提供方便。 5.1.3 防火墙的优、缺点 1．优点 防火墙是加强网络安全的一种有效手段，它有以下优点： （1）防火墙能强化安全策略 （2）防火墙能有效地记录Internet上的活动 （3）防火墙是一个安全策略的检查站 2．缺点 （1）不能防范恶意的内部用户 防火墙可以禁止内部用户经过网络发送机密信息，但用户可以将数据复制到磁盘上带出去。如果入侵者已经在防火墙内部，防火墙也是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件，这类攻击占了全部攻击的一半以上。 （2）不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息，却不能防范不通过它传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 （3）不能防范全部的威胁 防火墙被用来防范已知的威胁，一个很好的防火墙设计方案可以防范某些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 （4）防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病毒。无论防火墙多么安全，用户都需要一套防毒软件来防范病毒。 5.2 防火墙技术分类 （1）包过滤防火墙 又称网络层防火墙，它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对信息进行限制，允许授权信息通过，拒绝非授权信息通过。 （2）代理服务器 这种防火墙是目前最通用的一种，基本工作过程是：当客户机需要使用外网的服务器上的数据时，首先将数据请求发给代理服务器，代理服务器根据请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。同样的道理，代理服务器在外网向内网申请服务时也发挥了中间转接的作用。 5.2.1 包过滤技术 包过滤（Packet Filtering）技术在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。 使用包过滤技术的防火墙叫做包过滤防火墙（Packet filter），因为它工作在网络层，又叫网络层防火墙（Network level firewall）。 2. 包过滤防火墙的优点 包过滤防火墙具有明显的优点： （1）一个屏蔽路由器能保护整个网络 一个恰当配置的屏蔽路由器连接内部网络与外部网络，进行数据包过滤，就可以取得较好的网络安全效果。 （2）包过滤对用户透明 不像在后面描述的代理（Proxy），包过滤不要求任何客户机配置。当屏蔽路由器决定让数据包通过时，它与普通路由器没什么区别，用户感觉不到它的存在。较强的透明度是包过滤的一大优势。 （3）屏蔽路由器速度快、效率高 屏蔽路由器只检查包头信息，一般不查看数据部分，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高，通常作为网络安全的第一道防线。 3. 包过滤防火墙的缺点 屏蔽路由器的缺点也是很明显的，通常它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。 配置繁琐也是包过滤防火墙的一个缺点。没有一定的经验，是不可能将过滤规则配置得完美。有的时候，因为配置错误，防火墙根本就不起作用。 包过滤另一个关键的弱点就是不能在用户级别上进行过滤，只能认为内部用户是可信任的、外部用户是可疑的。 此外，单纯由屏蔽路由器构成的防火墙并不十分安全，危险地带包括路由器本身及路由器允许访问的主机，一旦屏蔽路由器被攻陷就会对整个网络产生威胁。 4．包过滤防火墙的发展阶段 （1）第一代：静态包过滤防火墙 （2）第二代：动态