第6章_防火墙技术.ppt

第6章 防火墙技术 本章学习目标 本章主要介绍了防火墙的观念、分类、体系结构以及有关产品。通过本章的学习、读者应该掌握以下内容： 防火墙及其相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙 天网个人防火墙的使用 6.1 防火墙概述 防火墙的概念 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内部网络的安全 防火墙发展简史 第一代防火墙：采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。 防火墙的作用 （1）可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户； （2）防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警； （3）限制内部用户访问特殊站点； （4）记录通过防火墙的信息内容和活动，监视Internet安全提供方便。 几个常用概念 外部网络（外网）：防火墙之外的网络，一般为Internet，默认为风险区域。 内部网络（内网）：防火墙之内的网络，一般为局域网，默认为安全区域。 非军事化区（DMZ）：为了配置管理方便，内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。 包过滤：也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。 代理服务器：是指代表内部网络用户向外部网络中的服务器进行连接请求的程序。 状态检测技术 虚拟专用网 数据驱动攻击 IP地址欺骗 防火墙的基本功能 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 好的防火墙系统应具备的特性 1）内部网络和外部网络之间传输的数据必须通过防火墙； 2）只有防火墙系统中安全策略允许的数据可以通过防火墙； 3）防火墙本身不受各种攻击的影响； 4）使用目前新的信息安全技术（现对密码技术、一次口令系统、智能卡等）； 5）人机界面良好，用户配置使用方便，易管理。 防火墙安全策略 (1) 除非明确允许，否则就禁止 这种方法堵塞了两个网络之间的所有数据传输，除了那些被明确允许的服务和应用程序。因此，应该逐个定义每一个允许的服务和应用程序，而任何一个可能成为防火墙漏洞的服务和应用程序都不能允许使用。这是一个最安全的方法，但从用户的角度来看，这样可能会有很多限制，不是很方便。一般在防火墙配置中都会使用这种策略。 (2) 除非明确禁止，否则就允许 这种方法允许两个网络之间所有数据传输，除非那些被明确禁止的服务和应用程序。因此，每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法，它却可能存在严重的安全隐患。 防火墙的优点 防火墙是加强网络安全的一种有效手段，它有 以下优点： 防火墙能强化安全策略 防火墙能有效地记录Internet上的活动 防火墙是一个安全策略的检查站 防火墙的缺点 （1）不能防范恶意的内部用户 防火墙可以禁止内部用户经过网络发送机密信息，但用户可以将数据复制到磁盘上带出去。如果入侵者已经在防火墙内部，防火墙也是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件，这类攻击占了全部攻击的一半以上。 （2）不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息，却不能防范不通过它传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 （3）不能防范全部的威胁 防火墙被用来防范已知的威胁，一个很好的防火墙设计方案可以防范某些新的威胁，但没有一个防火墙能自动防御所有的新的威胁。 （4）防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒，也不能消除计算机已存在的病毒。无论防火墙多么安全，用户都需要一套防毒软件来防范病毒。 网络防火墙与病毒防火墙的区别 防火墙技术分类 （1）包过滤防火墙 又称网络层防火墙，它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对信息进行限制，允许授权信息通过，拒绝非授权信息通过。(Firewall-1、PIX) （2）应用层网关（代理防火墙） 这种防火墙是目前最通用的一种，由代理服务器与筛选路