网络,信息,安全第十三章—防火墙技术.ppt

第四部分　安全技术和产品第13章 防火墙技术 导读 谈到网络安全，首先想到的一般就是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的基础和核心控制设备，在网络安全中具有举足轻重的地位。 内容 13.1 防火墙的基本概念 13.2 防火墙类型及体系结构 13.3 防火墙的基本技术及附加功能 13.4 防火墙技术的几个新方向 13.5 防火墙产品及应用 什么是防火墙? 在电脑中,防火墙是一种设备,可使个别网络不受公共网络的影响. 防火墙是一种必不可少的安全增强点. 防火墙是放置在两个网络之间的一些组件. 防火墙是在内部网和外部网之间实施安全防范的系统. 防火墙作为网络防护的第一道防线，它由软件或/和硬件设备组合而成，它位于企业或网络群体计算机与外界网络的边界，限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。 防火墙具有的性质: 双向通信必须通过防火墙; 防火墙本身不会影响信息的流通; 只允许本身安全策略授权的通信信息通过. 内容 13.1 防火墙的基本概念 13.2 防火墙类型及体系结构 13.3 防火墙的基本技术及附加功能 13.4 防火墙技术的几个新方向 13.5 防火墙产品及应用 13.2.1 包过滤防火墙 包是网络上信息流动的基本单位，它由数据负载和协议头两个部分组成。包过滤是基于协议头的内容进行过滤的 包过滤防火墙是最快的防火墙,因为它们的操作处于网络层并且只是粗略检查特定的连接的合法性. 在包过滤防火墙中,端点之间可以建立直接连接. 13.2.2 应用代理防火墙 真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据。 13.2.3 电路级网关型防火墙 电路级网关型防火墙起一定的代理服务作用，它监视两台主机建立连接时的握手信息，从而判断该会话请求是否合法，一旦会话连接有效，该网关仅复制、传递数据。 电路级网关不允许端点到端点的直接连接,具有隐藏内部网络信息的能力. 电路级网关型防火墙和包过滤防火墙有一个共同的特点,都是依靠特定的逻辑来判断是否允许数据包通过. 13.2.4 状态包检测防火墙 状态包检测模式增加了更多的包和包之间的安全上下文检查，以达到与应用级代理防火墙相类似的安全性能。 状态包检测防火墙工作在协议栈的较低层,通过防火墙的所有数据包都在低层处理,不需要协议栈的上层处理任何数据包,减少了高层开销,效率提高. 状态包检测防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据. 状态包检测防火墙仍然允许外部用户直接访问内网系统和应用程序. 13.2.5 双重宿主主机体系结构(Dual Homed Host) 双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的，该计算机至少有两个网络接口(NIC)。 13.2.6 屏蔽主机体系结构(Screened Host) 屏蔽主机体系结构使用一个单独的路由器来提供外部网络与内部堡垒主机(Bastion Host)连接的服务。 13.2.7 屏蔽子网结构(Screened Subnet Architectures) 屏蔽子网结构通过进一步增加隔离内外网的边界网络(Perimeter Network)为屏蔽主机结构增添了额外的安全层。 内容 13.1 防火墙的基本概念 13.2 防火墙类型及体系结构 13.3 防火墙的基本技术及附加功能 13.4 防火墙技术的几个新方向 13.5 防火墙产品及应用 13.3.1 包过滤技术 包过滤器是最原始的防火墙。包过滤器根据每个包头部内的信息来决定是否要将包继续传输，从而增强安全性。理论上，包过滤器可以被配置为根据协议包头的任何部分进行判断，但是大部分的过滤器被配置成只过滤最有用的数据域，主要是： ① IP地址 ② 协议类型 ③ TCP/UDP头信息 ④ 分片字段 包过滤器的使用 创建包过滤规则 在确定包过滤的配置规则之前，需要作如下决定： ● 打算提供何种网络服务，并以何种方向(从 内部网络到外部网络，或者从外部网络到内 部网络)提供这些服务。 ● 是否限制内部主机与因特网进行连接。 ● 因特网上是否存在某些可信任主机，它们需 要以什么形式访问内部网。 对于不同的包过滤产品，用来生成规则的信息也不同，但通常都包括以下信息： ● 接口和方向：包是流入还是离开网络，这些包通过哪种接口。 ● 源和目的IP地址：检查包从何而来(源IP地址)、发往何处(目的IP地址)。 ● IP选项：检查所有选项字段，特别是要阻止源路由(Source Routing)选项。 ●