第九章-防火墙技术课件.ppt

1、第5章防火墙技术防火墙技术 3.1防火墙技术概述 3.2防火墙技术 3.3防火墙设计实例本章学习目标（1）了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。（2）掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。（3）熟悉防火墙的产品选购和设计策略。返回本章首页内容攻击的风险日趋增长内容攻击的风险日趋增长198019902000网络分层物理层攻击物理层攻击窃取计算机磁带，磁盘，搭线窃听，电子信号的检测和感应协议层攻击协议层攻击盗用口令，欺骗，操作系统和网络协议的侦测内容攻击内容攻击蠕虫，病毒，可执行内容、特洛伊木马/代理的攻击物理层物理层数

2、据链路层数据链路层表示层表示层应用层应用层会话层会话层传输层传输层网络层网络层网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞扫描网络管理评估病毒防护体系网络监控数据保密网络访问控制应急服务体系安全技术培训数据恢复5.1防火墙技术概述 防火墙的定义 防火墙的发展简史 设置防火墙的目的和功能返回本章首页防火墙的功能防火墙的功能 1.1.访问控制访问控制 2.2.对网络存取和访问进行监控审计对网络存取和访问进行监控审计 3.3.防止内部信息的外泄防止内部信息的外泄 4.4.支持支持VPNVPN功能功能 5.5.支持网络地址转换支持网络地址转换对防火墙的两大需求 保障内部网安全 保证内部

3、网同外部网的连通3.1.1防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口。防火墙的发展简史 第一代防火墙：采用了包过滤（Packet Filter）技术。第二代防火墙：应用层防火墙的初步结构。第三代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第四代防火墙：1998年，NAI公司推出了一种自适应代理技术。3.1.4防火墙的局限性（1）防火墙防外不防内。（2）防火墙不能防范不通过它的连接。（3）很难为用户在防火墙内外提供一致的安全策略。（4）防火墙只实现了粗粒

4、度的访问控制。（5）防火墙对病毒的访问控制有局限。返回本节3.2防火墙技术 3.2.1防火墙的技术分类 3.2.2防火墙的主要技术及实现方式 3.2.3防火墙的常见体系结构返回本章首页3.2.1防火墙的技术分类 1包过滤防火墙 2应用网关（代理服务）3混合防火墙1包过滤防火墙（Packet filtering）（1）数据包过滤技术的发展：静态包过滤、动态包过滤。（2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。过滤规则-ACL 包过滤规则一般基于部分的或全部的包头信息：1IP协议类型 2IP源地址 3IP目标地址 4 TCP

5、（UDP）源端口号 5 TCP（UDP）目标端口号 6 TCP ACK标识，指出这个包是否是联接中的第一个包，是否是对另一个包的响应。优点：保护整个网络；对用户透明；可用路由器，不需要其他设备。缺点：1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。2.包过滤规则难配置。3.新的协议的威胁。4.IP欺骗包过滤防火墙的特点应用方向动作源地址源端口目的地址目的端口协议进站允许192.168.6.0/241023any80TCP进站拒绝any any E0端口 默认安全策略 没有明确禁止的行为都是允许的 举例：华为的ACL 没有明确允许的行为都是禁止的举例：思科的ACL

6、代理防火墙（应用层网关型防火墙）代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。2代理防火墙的原理 Proxy Server 代理防火墙的原理代理防火墙的工作过程代理技术的优点 1）代理易于配置。2）代理能生成各项记录。3）代理能灵活、完全地控制进出流量、内容。4）代理能过滤数据内容。5）代理能为用户提供透明的加密机制。6）代理可以方便地与其他安全手段集成。代理技术的缺点 1）代理速度较路由器慢。2）代理对用户不透明。3）对于每项服务代理可能要求不同的服务器。

7、4）代理服务不能保证免受所有协议弱点的限制。5）代理防火墙提供应用保护的协议范围是有限的 自适应代理防火墙 防火墙构造体系防火墙构造体系概念 l 堡垒主机(Bastion host):堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。可以配置成过滤型、代理型或混合型。l 双宿主主机(Dual-homed Host):有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。DMZ(Demilitarized Zone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网。可以实可以实现避免内外网用户的直接接触。现避免内外网用户的直接接触。内部网络外部网络包过滤器进行包过滤筛选路由器筛选路由器双宿主主机双宿主主机-Dual-Homed Host Firewall被屏蔽主机(Screened Host Firewall)被屏蔽子网(Screened subnet Firewall)小型网络解决方案 典型的网络安全解决方案双机热备