52.1防火墙的主要设计思想.ppt

第5章防火墙 本章的教学目的： 通过对防火墙中所涉及到技术的分析，了解防火墙的工作原理以及部署配置防火墙的原则；并通过实验及实训课程中安排的训练培养学生配置相对简单的个人防火墙的实践操作能力。 当然，一些有条件的院校应尽可能的为学生们提供接触硬件防火墙的条件。 关键词汇： 防火墙（FireWall）、包过滤(Packet filtering)、包状态监测(Stateful Inspection)、应用代理(Application Proxy)、应用网关(Application Gateway)、自适应代理(Adaptive proxy)、包过滤型防火墙（Packet filtering firewall）、电路级网关（Circuit level gateway）、应用级网关（Application level gateway）、 状态监测防火墙（Stateful Inspection Firewall）、会话（Session）、安全规则 （Security Rules）、网络地址转换（Network Address Translation）、透明的代理服务（Transparent Proxy）、信息过滤（Filter）、非军事化区（DMZ）、入侵检测功能（IDS） 5.1 防火墙概述 防火墙的英文名为“FireWall”，是目前一种最重要的网络安全防护设备。防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。这项技术作为一种网络安全的工具已发展若干年。古时候, 人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，这种墙称作“防火墙”。在网络时代，当一个网络接入Internet 以后用户就可以与外部世界相互通信，出于安全目的，在该网络和Internet之间插入一个中介系统，竖起一道安全屏障，这道屏障作为保证本网络的安全和审计的唯一关卡，可以阻断来自外部世界的威胁和入侵。 这种中介系统被称为网络世界中的防火墙或防火墙系统。防火墙的主要作用是提供行之有效的网络安全机制，同时其本身也是网络安全策略的有机组成部分。它作为不同网络或网络安全域之间信息的出入口，能根据用户设定的安全策略控制和监测网络之间的信息流，且本身具有较强的抗攻击能力。 目前，虽然还没有哪一种安全机制可以完全地确保网络的安全，但无疑防火墙系统将给自己的内部网络提供巨大的安全保障。使用防火墙可以有效地防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料安全，一般可为电信、邮政、政府、教育、能源、金融、企业等各部门以及个人的现有网络提供有效、安全的保护措施。 5.2 防火墙的设计和实现 防火墙通常在两个网络间实现访问控制：一个是用户信任的网络，需要受到保护被称为内部网络，另一个是内部网络之外的非安全网络，不被用户信任，被称为外部网络。防火墙就位于一个受信任的网络（内部网络）和一个不受信任的网络（外部网络）之间，通过一系列的规则来保护内部网络的信息，不被外部网络非授权访问。这些规则被称为安全策略。 5.2.1 防火墙的主要设计思想 最初的防火墙设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信予以通过。 在逻辑上，防火墙是一种分离器、分析器和限制器的结合，可以按照事先设定的安全策略规则监控内部网和Internet之间的信息流活动，保证内部网络的安全。防火墙通常是放在外部因特网络和内部网络之间，以保证内部网络的安全。 其逻辑示意图如下: 防火墙可以使企业内部网络（LAN）网络与外部网络之间互相隔离、限制网络互访来实现保护内部网络的目的。防火墙一般具有以下三个方面的基本特性： 1、网络间数据流通过唯一性??? 这是由防火墙所处逻辑位置决定的，同时也是一个部署防火墙的前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护内部网络不会遭受攻击和入侵。一般而言防火墙非常适用于内部网络系统的边界，属于内部网络的安全保护设备，即防火墙的逻辑位置一直处于网络的边界上。网络边界是指采用不同安全策略的两个网络连接处，比如内部网络和互联网之间连接、和其它业务往来单位的网络连接、内部网络不同部门之间的连接等。建立防火墙的目的就是在网络边界之间建立一个安全控制点、中转站，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 典型的防火墙部署位置如下图所示。在这里我们可以看出，防火墙的一端连接企事