计算机网络安全第5章防火墙技术

《计算机网络安全第5章防火墙技术》由会员分享，可在线阅读，更多相关《计算机网络安全第5章防火墙技术（30页珍藏版）》请在金锄头文库上搜索。

1、第5章 防火墙技术,5.1 防火墙安全概述 5.2 防火墙技术的分类 5.3 常见的防火墙系统结构 5.4 防火墙选购策略 5.5 防火墙实例,5.1 防火墙技术概述,5.1.1 防火墙的定义 5.1.2 防火墙的作用 5.1.3 防火墙的缺陷 5.1.4 防火墙技术的发展趋势,5.1.1 防火墙的定义,人们用于保护计算机网络中敏感数据不被窃取和篡改的计算机软硬系统叫做“防火墙”。 防火墙是设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全

2、保护。,防火墙是一类防范措施的总称，不是一个单独的计算机程序或设备。在物理上，它通常是一组硬件设备和软件的多种组合。,防火墙示意图,5.1.2 防火墙的作用,防火墙的作用主要体现在以下几个方面： 1防火墙是网络安全的屏障 2防火墙可以强化网络安全策略 3网络存取和访问监控审计 4防止内部信息的外泄 5防火墙支持具有Internet 服务特性的企业内部网络技术体系VPN,5.1.3 防火墙的缺陷,尽管防火墙有许多防范功能，但由于互连网的开放性，它也有一些不如人意的地方，主要表现在以下几个方面。 1）防火墙不能防范绕过防火墙的攻击。 2）防火墙不能防止数据驱动式攻击。 3）防火墙不能防止感染了病毒

3、的软件或文件的传输。 4）防火墙不能防止来自内部变节者和用户带来的威胁。,5.1.4 防火墙技术的发展趋势,1深度包检测 深度包检测是指对数据报的分析深人到内存，充分理解各种应用协议的流程以及脆弱性所在，以做出针对性的检测和保护。 2网络安全产品的系统化 将防火墙和入侵检测、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，系统网络的安全性得以明显提升。,5.2 防火墙技术的分类,5.2.1 包过滤防火墙技术 5.2.2 代理防火墙技术,返回本章首页,5.2.1 包过滤防火墙技术,1包过滤防火墙技术 数据包过滤 技术是防火墙为系统提供安全保障的主要技

4、术，它依据系统内事先设定的过滤逻辑，通过设备对进出网络的数据流进行有选择的控制与操作。 数据包过滤技术作为防火墙的应用有3种。第一种是路由设备在完成路由选择和数据转发的同时进行包过滤。第2种是在工作站上使用软件进行包过滤。第3种是在一种 是在一种称为屏蔽路由器的路由设备上启动包过滤功能。目前较常用的方式是第一种。 包过滤作用在网络层和传输层，以IP包信息为基础，对通过防火墙的IP包的源,目的地址，TCP/UDP的端口标识符及ICMP等进行检查。,2 包过滤防火墙技术的优缺点 数据包过滤防火墙技术有很多优点，主要体现在以下几点。 1）包过滤技术不用改动客户机和主机上的应用程序 . 2）单独的，放

5、置恰当的数据包过滤路由器有助于整个网络。 3）数据包过滤技术对用户没有特别的要求。 4）大多数路由器都具有数据包过滤功能，,数据包过滤也存在一些缺陷。 1）在过滤过程中判别的只有网络层和传输层的有限信息。 2）在许多过滤器中，过滤规则的数目是有限制的，随着规则数目的增加，设备性能会受到很大地影响，导致数据包过滤器使用户难以用某些用户需要的规则。 3）当前的过滤工具并不完善，或多或少的存在一些局限性。 4）由于缺少上下文关联信息，数据包过滤路由器不能有效地过滤诸如UDP，RPC，FTP一类的协议。 5）数据包过滤技术对安全管理人员素质要求较高。,5.2.2 代理防火墙技术,1代理防火墙技术 代理

6、防火墙的主要是因为代理服务器（Proxy Server）。代理服务器是指代理内部网络用户与外部网络服务器进行信息交换的程序。它可以将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再送给用户。 代理防火墙作用在应用层，用来提供应用层服务的控制，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序。实现监视和控制应用层通信流的作用。所以代理防火墙又被称为应用代理或应用层网关型防火墙。,代理防火墙的示意图,2代理防火墙技术的优缺点 代理防火墙技术的优点如下。 1）代理能生成各项记录。 2）代理易于配置。 3）代理能灵活，完全地控制进出流量，内容。通过采取一定措施，按照一定的

7、规则，用户可以借助代理实现一整套的安全策略。 4）代理能过滤数据内容。 5）代理可以方便地与其他安全手段集成。,代理防火墙技术了有它的缺点。 1）代理对用户不透明，多代理要求客户端做相应改动或安装定制客户端软件，这给用户增加了不透明度。 2）代理速度比路由器慢。 3）对于每项服务代理可能要求不同的服务器。 4）除了一些为代理而设的服务，代理服务器要求对客户或过程进行限制，每一种限制都有不足之处，人们无法经常按他们自己的步骤使用快捷可用的工作。 5）代理服务器不能保证免受所有协议弱点的限制。 6）代理不能改进底层协议的安全性。 。,5.3 常见的防火墙系统结构,出于对更高安全性的要求，通常的防火

8、墙系统是多种解决不同问题的技术的有机组合。例如，把基于包过滤的方法与基于应用代理的方法结合起来。就形成复合型防火墙产品。,返回本章首页,目前常见的配置有以下几种： 1屏蔽路由器 屏蔽路由器是防火墙最基本的构件，是最简单也是最常见的防火墙。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。 这种配置的优点是：容易实现、费用少，并且对用户的要求较少，使用方便。其缺点是： 日志记录能力不强，规则表庞大、复杂，整个系统依靠单一的部件来进行保护，一旦被攻击，系统管理员很难确定

9、系统是否正在被入侵或已经被入侵了,2双宿主主机网关 双宿主主机是一台安装有有两块网卡的计算机，每块网卡有各自的IP地址，并分别与受保护网和外部网相连。如果外部网络上的计算机想与内部网络上的计算机进行通信，它就必须与双宿主主机上与外部相连的IP地址联系，代理服务器软件再通过另一块网卡与内部网络相连接。 这种配置是用双宿主主机做防火墙，两块网卡各自在主机上运行着防火墙软件，可以转发应用程序、提供服务等。 优点：网关可将受保护网络与外界完全隔离；代理服务器可提供日志，有助于网络管理员确认哪些主机可能已被入侵；同时，由于它本身是一台主机，所以可用于诸如身份验证服务器及代理服务器，使其具有多种功能。 缺

10、点：双宿主主机的每项服务必须使用专门设计的代理服务器，即使较新的代理服务器能处理几种服务，也不能同时进行；另外，一旦双宿主主机受到攻击，并使其只具有路由功能，那么任何网上用户都可以随便访问内部网络了，这将严重损害网络的安全性。,双宿主主机网关,3屏蔽主机网关 屏蔽主机网关由屏蔽路由器和应用网关组成，屏蔽路由器的作用是包过滤，应用网关的作用是代理服务。这样，在内部网络和外部网络之间建立了两道安全屏障，既实现了网络层安全，又实现了应用层安全。 屏蔽主机网关比双宿主主机网关设置更加灵活，它可以设置成使屏蔽路由器将某些通信直接传到内部网络的站点，而不是传到应用层网关。另外，屏蔽主机网关具有双重保护，安

11、全性更高。 缺点:由于要求对两个部件配置，使它们能协同工作，所以屏蔽主机的主机将失去任何的安全保护，整个网络将对攻击者敞开,屏蔽主机网关,4屏蔽子网 屏蔽子网系统结构是在屏蔽主机网关的基础上再加上一个屏蔽路由器，两个路由器放在子网的两端，三者形成了一个被称为“非军事区”的子网。 这种方法在内部网络和外部网络之间建立了一个被隔离的子网。用两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。外部屏蔽路由器和应用网关与在屏蔽主机网关中的功能相同，内部屏蔽路由器在应用网关和受保护网络之间提供附加保护。在屏蔽子网防火墙系统结构中，应用

12、网关和屏蔽路由器共同构成了整个防火墙的安全基础。 屏蔽子网防火墙系统结构的不足是，它要求的设备和软件模块是上述几种防火墙系统结构最多的，其配置也相当复杂和昂贵。,屏蔽子网,5.4 防火墙选购策略,1防火墙自身的安全性 2应考虑的特殊需求 3防火墙系统的稳定性和可靠性 4防火墙的性能 5防火墙配置的方便性,5.5 防火墙实例,5.5.1 常见防火墙简介5.5.2 天网防火墙个人版简介,5.5.1 常见防火墙软件介绍,1Check Point Firewall-1 Check Point公司推出的Firewall-1共支持两个平台：一个是UNIX平台；另一个是Windows NT平台。Firewa

13、ll-1具有一种很特别的结构，称为多层次状态监视结构。这种结构让Firewall-1可以对复杂的网络应用软件进行快速支持。 Firewall-1提供了最佳权限控制、最佳综合性能及简单明了的管理。除了NAT外，它具有用户认证功能。对于FTP，可以根据put、set以及文件名加以限制。对于SMTP，它可以丢弃超过一定大小的邮件，对邮件进行病毒扫描，以及改写邮件头信息。Firewall-1还可以防止有害SMTP命令（如debug）的执行。 Firewall-1的用户界面是网络控制中心，定义和实施复杂的安全规则非常容易。每个规则还有一个域用于文档记录，如为什么制定这条规则，何时制定及由谁制定。,2AX

14、ENT Raptor Raptor是代理型防火墙中最好的。它的界面易读、易操作，在实时日志方面，仅次于Firewall-1。Raptor的优势还在于其代理的深度和广度。只有它提供对Microsoft NT服务器的保护。它还具有SQL* NET代理功能，可控制对Oracle数据库的访问。Raptor在SMTP方面做得很好，而且它是惟一可防止缓存溢出的防火墙，它可以代理NNTP（网络新闻协议）和NTP（网络时间协议）。,5.5.2 天网防火墙个人版简介,天网防火墙个人版是个人电脑使用的网络安全程序，根据管理者设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能，帮你抵挡网络入侵和攻击，防止信

15、息泄露。天网防火墙把网络分为本地网和互联网，可针对来自不同网络的信息，来设置不同的安全方案，适合于任何方式上网的用户。 1）严密的实时监控 2）灵活的安全规则 3）应用程序规则设置 4）详细的访问记录和完善的报警系统,本章小结,防火墙是用于保护计算机网络中敏感数据不被窃取和篡改的计算机软硬系统。 防火墙技术分为包过滤防火墙技术和代理防火墙技术。 防火墙体系应该是多种解决不同问题的技术的有机组合。常见的配置有：屏蔽路由器、双宿主主机网关、屏蔽主机网关、屏蔽子网等几种。 防火墙在选购时应注意策略。如何选购一个安全、稳定、可靠的防火墙产品是非常重要的。 防火墙是目前用来实现网络安全措施的一种主要手段，但网络安全单靠防火墙是远远不够的。,Thank you very much!,返回本章首页,退 出,