第14章 网络硬件防火墙.ppt

第14章 网络硬件防火墙 14.1 防火墙的定义 14.2 防火墙的功能 14.3 防火墙的分类 14.4 硬件防火墙的内部结构 14.5 防火墙的配置 14.1 防火墙的定义 防火墙的英文名为“Firewall”，它是目前最重要的一种网络防护设备，是处于不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙其实是一个分离器，一个限制器，同时也是一个分析器，它有效地监控了内部网间或Internet之间的任何活动，保证了内部网络的安全。防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测，也可以是软件型的，软件在计算机上运行并监控。其实硬件型也就是芯片里固化了的软件，只是它不占用计算机CPU的处理时间，但价位非常高，对于个人用户来说软件型更加方便实在。 防火墙在网络中的逻辑位置示意图如图14-1所示。 图14-1 防火墙在网络中的逻辑位置 根据防火墙的定义和在网络中的作用，我们可以看出防火墙具有以下三个方面的基本特性： (1) 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 (2) 只有符合安全策略的数据流才能通过防火墙。 (3) 防火墙自身应具有非常强的抗攻击免疫力。 14.2 防火墙的功能 防火墙在整个网络中的功能主要有以下几点。 (1) 防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务来降低风险。 (2) 防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有的安全软件(如口令、加密、身份认证、审计等)配置在防火墙上，与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理将更加经济。 (3) 对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。 (4) 防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 14.3 防火墙的分类 14.3.1 从防火墙的软、硬件形式分 最初的防火墙与我们平时所看到的集线器、交换机一样，都属于硬件产品。如图14-2所示就是3Com公司的一款3Com SuperStack 3防火墙，它在外观上与平常我们所见到的集线器和交换机类似，只是接口少而已，分别用于连接内、外部网络，这正是由防火墙的基本作用决定的。 图14-2 硬件防火墙 随着防火墙应用的逐步普及和计算机软件技术的发展，为了满足不同层次用户对防火墙技术的需求，许多网络安全软件厂商开发出了很多基于纯软件的防火墙，俗称“个人防火墙”，之所以说它是“个人防火墙”，那是因为它安装在主机中，只对一台主机进行防护，而不是对整个网络，如“天网”就是大家熟悉的一款典型的个人防火墙软件。 14.3.2 从防火墙的技术分 防火墙技术虽然有许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。 1. 包过滤(Packet Filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包报头源地址、目的地址、端口号和协议类型等标志确定是否允许通过，只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段，之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它从很大程度上满足了绝大多数企业的安全要求。 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，分别