电子商务安全《防火墙技术》课件.pptx

4.4??防火墙技术4.4.1什么是防火墙防火墙是设置在被保护网络(本地网络)和外界网络（主要是Internet）之间的一道防御系统，以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状态，以此用来保护内部网络中的信息、资源等不受来自外部网络中非法用户的侵犯。它控制内部网络与外部网络间的所有数据流，只让确认为合法的数据流通过，保证只有授权的用户可以访问网络，并且保证其中的资源和有价值的数据不会流出网络。因此，防火墙被放在两个网络之间，并具有以下特征：（1）所有的从内部到外部或从外部到内部的通信都必须经过它。（2）只有有内部访问策略授权的通信才被允许通过。（3）系统本身具有高可靠性。

4.4??防火墙技术根据不同的需要，防火墙的功能有较大的差异，但是一般都包含以下三种基本功能：（1）过滤不安全的服务和非法用户。所有进出内部网络的信息都必须通过防火墙，防火墙成为一个检查点，禁止未授权的用户访问受保护的网络。（2）控制对特殊站点的访问。防火墙可以允许受保护网络中的一部分主机被外部网访问，而另一部分则被保护起来。例如，受保护网中的E-mail、FTP、WWW服务器等可被外部网访问，而其他访问则被禁止。（3）作为网络安全的集中监视点。通过以上的讨论，我们已经认识到在相关Web站点安装防火墙的必要性，其可以归纳为两点：1）通过防火墙设置的安全策略控制信息流出入，防止不可预料的潜在的入侵破坏；2）尽可能地对外界屏蔽和保护网络的信息和结构，确保可信任的内部网络的安全。

4.4??防火墙技术4.4.2防火墙的类型认识了防火墙以后，可以对当前市场上的防火墙进行分类。从不同的角度有不同的分类方法。从技术方面对防火墙进行分类，一般可以分为两种基本类型：分组过滤型防火墙、应用代理型防火墙。1．分组过滤型分组过滤（packetfiltering）也称为包过滤型防火墙，是目前防火墙最常用的技术。分组过滤型防火墙作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。在这里，进行选择的依据是系统内设置的过滤逻辑，称为访问控制表（accesscontroltable）。分组过滤防火墙通过检查数据流中每个分组的IP源地址、目的地址、所使用的端口号、协议状态等因素，或它们的组合来确定是否允许该分组通过。

4.4??防火墙技术图4.12分组过滤防火墙的实现原理

4.4??防火墙技术2．应用代理型应用代理型（applicationproxy）防火墙指处理代表内部客户的外部服务器的程序，工作在应用层，因此也称应用型防火墙。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。人们常使用代理服务器进行信息过滤，以防止网络之间出现直接的传输。外部网络与内部网络之间想要建立连接，首先必须通过代理服务器的中间转换，内部网络只接收代理服务器提出的服务要求，拒绝外部网络的直接请求。这种类型的防火墙优点在于可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；可用于实施较强的数据流监控、过滤、记录和报告等。但是，实现起来比较困难，对于每一种服务协议必须设计一个代理软件模块，以便进行安全控制，透明性比较差。

4.4??防火墙技术4.4.3防火墙的实现方式1．分组过滤防火墙图4.13分组过滤防火墙

4.4??防火墙技术2．屏蔽主机防火墙内部网络Internet堡垒主机屏蔽路由器防火墙图4.14屏蔽主机防火墙

4.4??防火墙技术3．双宿主主机型防火墙内部网络Internet堡垒主机双重宿主主机防火墙图4.15双宿主主机防火墙

4.4??防火墙技术4．屏蔽主机防火墙内部网络Internet堡垒主机外部路由器防火墙内部路由器周边网图4.16屏蔽主机防火墙

4.4??防火墙技术4.4.4防火墙过滤规则案例案例：用WinRoute禁止FTP访问。假设某公司的FTP服务器存储有相关的公司资料文件，服务器IP地址为“172．18．25．109”，现在出于必威体育官网网址需要，不希望Internet公网上其他用户通过FTP方式下载该公司FTP服务器上的文件信息，那么应该如何实现呢?我们知道FTP服务采用的协议是应用层的FTP协议，而FTP协议是基于TCP协议的，并且占用到TCP协议的21端口(即熟知端口)。因此，首先创建防火墙的过滤规则，如表4.1所示。组序号动作源IP目的IP源端口目的端口协议类型1禁止*09*21TCP

4.4??防火墙技术4.4.5防火墙的局限性综上所述，作为网络安全的——个重要手段，防火墙是不可或缺的。