防火墙技术

《防火墙技术》由会员分享，可在线阅读，更多相关《防火墙技术（27页珍藏版）》请在金锄头文库上搜索。

1、防火墙技术,小组成员：雷珍，刘继娥，唐玲，杨婷，肖丽莎，柳晓珍主讲人：雷珍,前言 随着计算机网络的飞速发展和广泛应用,网络给我们带来便利的同时也带来了危险，数据的安全性已遭到严重危害，甚至伤害到了我们自身的利益。 在网络中，一个网络接入Internet后，内部网络可以访问外部Internet上的计算机并与之通信，外部Internet上的计算机同样也可以访问内部网络，为了安全，在两者之间竖起一道屏障，来阻断外部的威胁和入侵。这道屏障我们就称之为防火墙。,防火墙技术,本章要点： 防火墙概述 防火墙技术分类 防火墙的选择和使用,一、防火墙的概述 1、定义,防火墙是一种特殊编程的路由器，安装在一个网点

2、和网络的其余部分之间，目的是实施访问控制策略。（1）对外屏蔽网络的内部信息、结构以及运行情况，实现内部网的安全保护。（2）防火墙设置在可信任的内部网和不可信任的公共网之间。（3）防火墙是一类防范措施的总称，不是一个单独的计算机程序或者硬件设备。这种防范技术的具体表现通常为硬件设备、软件或者两者的组合。,防火墙示意图,2、防火墙的目的,防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，保障了一个网络不受另一个网络的攻击，限制外部用户非法访问网络内部的数据，防止网络中的攻击者对内部的网络信息资源更改、复制、输出、毁坏。,3、防火墙的作用,概括为实施访问控制。一方面对经过它的网络通信

3、进行扫描，过滤一些可能攻击内部数据。另一方面防火墙可以关闭不使用的端口，禁止一些端口的通信。,具体体现：,防火墙是网络安全的屏障 防火墙可以强化网络安全策略 网络存取和访问进行监控审计 防止内部信息的外泄 防火墙支持具有Internet服务的企业内部网VPN,4、防火墙的局限性,防火墙不能防范不经过它本身的攻击。 防火墙只能实现粗粒度的访问控制，不能防备全部威胁。 防火墙难于管理和配置。 防火墙主要保护网络系统的可用性，不能保护数据的安全，没有身份认证和授权管理系统,二、防火墙的技术分类,从软件、硬件形式来分，防火墙可以分为软件防火墙和硬件防火墙。根据防火墙应用在网络中的层次不同进行划分，可以

4、分为：网络层防火墙、应用层防火墙、复合型防火墙。,1、网络层防火墙,主要用来防止整个网络出现外来非法的入侵。 属于这类的有分组过滤和授权服务器。 分组过滤是检查所有流入本网络的信息，然后拒绝不符合事先制定好的一套准则的数据。 授权服务器是检查用户的登录是否合法。,数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。,最常用包过滤的工作原理,包过滤机制是对经过它的每一个数据包的头进行检查，根据数据包头部含有的IP地址和协议所使用的端口信息，决定是将这些数据包转发到下一跳，还是丢弃数据包和拒绝数

5、据包。包过滤的过程取决于防火墙定义的规则库：协议类型、源地址、目的地址、源端口、目的端口以及当前数据包和规则库匹配时防火墙应采取的措施等。,IP源地址 IP目标地址 协议（TCP包、UDP包和ICMP包） TCP或UDP包的源端口 TCP或UDP包的目标端口 ICMP消息类型 TCP包头中的ACK位 数据包到达的端口 数据包出去的端口,过滤规则主要检查：,包过滤防火墙技术的优点,对于一个小型的、不太复杂的站点，包过滤比较容易实现。 因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。 过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任

6、何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。 过滤路由器在价格上一般比代理服务器便宜。,包过滤防火墙技术的缺点,在过滤过程中判别的只有网络层和传输层的有限信息。 在许多过滤器中，过滤规则的数目是有限制的，随着规则数目的增加，设备性能会受到很大地影响，导致数据包过滤器使用户难以用某些用户需要的规则。 数据包过滤技术对安全管理人员素质要求较高。,2、应用层防护墙,从应用程序来进行访问控制。通常使用应用网关或代理服务器来区分各

7、种应用。, 应用网关是从应用层的角度来检查每一个分组。 例如，一个邮件网关在检查每一个邮件时，要根据邮件的首部或报文的大小，甚至是报文的内容（例如，有没有某些像“导弹”“核弹头”等关键词）来确定该邮件是否能通过防火墙。,代理服务器是指代理内部网络用户与外部网络服务器进行信息交换的场所。其功能就是代理网络用户去取得网络信息，在外网和内网申请服务时发挥中间转接和隔离内网与外网的作用。是网络信息的中转站。,代理防火墙示意图,代理服务器运行在两个网络之间，是客户机和真实服务器之间的中介。 代理服务器彻底隔断内网与外网的“直接”通信，内网的客户机对外网的服务器进行访问，变成了代理服务器对外网的服务器访问

8、，然后再由代理服务器转发给内网的客户机。 代理服务器对内网的客户机相当于一台服务器，而对于外网的服务器来说，就是一台客户机。,应用级防火墙的优缺点优点：安全，能够实现用户级的身份认证、日志记录、账号管理。 由于工作在应用层，可以对网络中任何一层数据通信进行筛选保护，不像包过滤那样只能对网络层数据进行过滤。 缺点：不灵活，对用户不透明。处理速度比较慢。,3、复合型防火墙,复合型防火墙是结合包过滤和应用层网关优点的一种防火墙。一般常见的组合方法有：屏蔽路由器、双宿主主机网关、屏蔽主机网关、屏蔽子网。,三、防火墙的选择和使用,选择一个安全、实惠、合适的防火墙对用户来说是较为困难的，原因有以下几点： 用户的网络安全知识还不够完善，对自己的网络安全现状和网络安全的需求还不明确。 防火墙产品功能繁多，用户不知道哪些是当前主要考虑的问题。 用户对于安全需求茫然，手足无措。,，,选择防火墙时应该遵循的原则：了解自己需要的信息系统安全级别； 防火墙应具备的基本功能； 防火墙自身的安全性； 防火墙的方便性； 能够弥补操作系统的不足； 完善的售后服务； 能够适应特殊要求；,使用防火墙的误区：功能最全、价格最贵就是最好；一次配置，永远运行；审计是可有可无的；厂家的配置无需改动。,谢 谢！,