第1章网络安全管理概述.ppt

防火墙的基本概念 “防火墙”一词来源于早期的欧式建筑，是为了防止火势蔓延而在建筑之间修筑的矮墙。以前在人们使用木制结构建筑房屋的时候，为了使“城门失火”不致“殃及池鱼”，将坚固的石块堆砌在房屋周围作为屏障，进一步防止火灾的发生和蔓延，这种防护构筑物被称为防火墙。今天借用这个概念，将用于内网和外网之间进行访问控制的计算机软硬件系统称为防火墙。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。 设置防火墙，就形同装置一个防盗门，通过门禁系统使得合法的用户可以进出，而将非法用户挡在外面。入侵检测系统（IDS）则相当于内部安装的摄像头，用于监控内部用户的行为。这两者组合起来进行网络安全防范。 防火墙的特点 防火墙的功能 1/2 （1）网络的安全屏障。只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，外部的攻击者就不可能利用这些脆弱的协议来攻击 （2）强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。 （3）对网络存取和访问进行监控审计。由于所有的访问都经过防火墙，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的，可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。 （4）防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。 （5）协同防御。与IDS联动和协防，并在出现可疑访问时报警。 防火墙的功能 2/2 由于防火墙是内外网的分界点，所有流量都必须经过防火墙，因此实际应用中防火墙也被加入一些其他高级功能。 （1）身份验证和授权。在防火墙中建立一个包括用户名和密码的本地数据库，进而对用户身份进行验证，并作出相应授权。 （2）NAT（网络地址转换）。内网和外网之间IP地址的转换。 （3）VPN（虚拟专用网）。通过集成VPN所需的软硬件在防火墙上，实现构建虚拟专用网。 （4）病毒免疫。通过连接到专门的病毒防火墙，对流经网络的数据包进行过滤，清除计算机病毒。 （5）代理。防火墙本身具有代理功能。 防火墙的主要缺陷 网络的安全性通常是以牺牲网络服务的开放性和灵活性为代价的，防火墙的使用会削弱网络的功能： 1．由于防火墙的隔离作用，在保护内部网络的同时使他与外部网络的信息交流受到阻碍。 2．由于在防火墙上附加各种信息服务的代理软件，增大了网络管理的开销，还减慢了信息传输速率。 3．防火墙只是整个网络安全防护体系的一部分，并非万无一失。 4．只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力。 5．不能解决来自内部网络的攻击和安全问题。调查发现，50％的攻击都将来自于网络内部。 6．不能防止受病毒感染的文件传输。 7．不能防止策略配置不当或错误配置引起的安全威胁。 8．不能防止自然或人为的敌意破坏，不能防止本身的安全漏洞威胁（防火墙内核需安全升级）。 9. 由于性能的限制，网络防火墙通常不能提供实时的入侵检测能力。而这一点，对于层出不穷的网络攻击技术来说是至关重要的。 防火墙的分类 按软硬件分类： 软件防火墙和硬件防火墙以及芯片级防火墙。 1.软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。 2.硬件防火墙 目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，运行一些经过剪裁和简化的操作系统 3.芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙