第06讲 防火墙技术_附件.ppt

* * * * * * * * 小 结 防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统，目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访，从而实现内网保护。 典型的防火墙具有三个基本特性：①内部网络和外部网络之间的所有网络数据流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火墙；③防火墙自身应具有非常强的抗攻击免疫力。 防火墙具有以下几种功能：①限定内部用户访问特殊站点；②防止未授权用户访问内部网络；③允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源；④记录通过防火墙的信息内容和活动；⑤对网络攻击进行监测和报警。 防火墙的体系结构有以下几种: ①双重宿主主机体系结构；②被屏蔽主机体系结构；③被屏蔽子网体系结构。 防火墙的类型有多种分类方法：技术上分“包过滤型”和“应用代理型”；结构上分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种；应用部署位置分为边界防火墙、个人防火墙和混合式防火墙；性能上分为百兆级防火墙和千兆级防火墙。 防火墙的发展趋势：①功能性能不断突破；②下一代网络的新需求；③高速、安全、可用。 * 课后思考：防火墙存在的问题 防火墙？ 防火墙解决了什么问题？ 防火墙没有解决什么问题？ 防火墙的设置带来了什么新的问题？ 防火墙是一个瓶颈，如何解决？ 其他的解决办法？ 以上问题综合思考后，以论文形式阐述自己的认识和观点。 * 防火墙不是万能的。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 3.状态检测 状态检测技术是防火墙近几年才应用的新技术。 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝， 状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。 这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息 与传统包过滤防火墙的静态过滤规则表相比，状态检测技术具有更好的灵活性和安全性。 * 3.状态检测（续） 工作在TCP/IP各层，检查由防火墙转发的包，并创建相应的结构记录连接的状态。 它的检查项包括链路层、网络层、传输层、应用层的各种信息，并根据规则表或状态表来决定是否允许转发包通过。 * 3.状态检测（续） 通信信息：即所有7层协议的当前信息。 防火墙的检测模块位于操作系统的内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略，对于满足的数据包，再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志，因此具有更全面的安全性。 * 3.状态检测（续） 通信状态：即以前的通信信息。 对于简单的包过滤防火墙，如果要允许FTP通过，就必须作出让步而打开许多端口，这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息，记录从受保护网络发出的数据包的状态信息，例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口，然后，防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。这里，对于UDP或者RPC等无连接的协议，检测模块可创建虚会话信息用来进行跟踪。 * 3.状态检测（续） 应用状态：即其他相关应用的信息。 状态检测模块能够理解并学习各种协议和应用，以支持各种必威体育精装版的应用，它比代理服务器支持的协议和应用要多得多；并且，它能从应用程序中收集状态信息存入状态表中，以供其他应用或协议做检测策略。例如，已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。 * 3.状态检测（续） 操作信息：即在数据包中能执行逻辑或数学运算的信息。 状态监测技术，采用强大的面向对象的方法，基于通信信息、通信状态、应用状态等多方面因素，利用灵活的表达式形式，结合安全规则、应用识别知识、状态关联信息以及通信数据，构造更复杂的、更灵活的、满足用户特定安全要求的策略规则 * 状态检测原理 * 3.状态检测（续） 优点 安全强度高 配置灵活 缺点： 速度慢 管理复杂 * 三、防火墙的体系结构 防火墙的体系结构一般有以下几种: 1）双重宿主主机体系结构。 2）屏蔽主机体系结构。 3）屏蔽子网体系结构。 * 三、防火墙的体系结构 1、双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。可充当与这些接