《网络信息安全西财课件》由会员分享,可在线阅读,更多相关《网络信息安全西财课件(65页珍藏版)》请在金锄头文库上搜索。
1、第八章第八章 防火墙防火墙第八章第八章 防火墙防火墙第一节防火墙的根本原理第一节防火墙的根本原理第二节防火墙的分类第二节防火墙的分类第三节第三节 防火墙体系结构防火墙体系结构第四节第四节 防火墙的开展趋势防火墙的开展趋势第一节防火墙的根本原理第一节防火墙的根本原理一、防火墙的概念一、防火墙的概念防火墙防火墙(Firewall)(Firewall)是指一个由软件是指一个由软件和硬件设备组合而成,处于企业或网络和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访用户对内部网络访问及管理内部用户访问外界网络的权限。问
2、外界网络的权限。 第一节防火墙的根本原理第一节防火墙的根本原理一、防火墙的概念第一节防火墙的根本原理第一节防火墙的根本原理二二、防防火火墙墙模模型型形象地说,防火墙是在两个网络通信时,形象地说,防火墙是在两个网络通信时,执行一种相互访问控制的尺度,它能够允许用执行一种相互访问控制的尺度,它能够允许用户户“同意的人和数据进入他的网络,同时将同意的人和数据进入他的网络,同时将用户用户“不同意的人和数据拒之门外,阻止网不同意的人和数据拒之门外,阻止网络中的黑客访问他的网络,防止他们更改、拷络中的黑客访问他的网络,防止他们更改、拷贝、毁坏用户的重要信息,按照贝、毁坏用户的重要信息,按照OSI/RMOS
3、I/RM模型要模型要求,防火墙可以在求,防火墙可以在OSI/RMOSI/RM七层中的五层设置。七层中的五层设置。第一节防火墙的根本原理第一节防火墙的根本原理二二、防防火火墙墙模模型型防火墙模型防火墙模型第一节防火墙的根本原理第一节防火墙的根本原理三三、防防火火墙墙的的平平安安策策略略包括用户的所有信息。其中最主要包括用户的所有信息。其中最主要包括用户名、口令、用户所属的工作组、包括用户名、口令、用户所属的工作组、用户在系统中的权限和资源存取许可。用户在系统中的权限和资源存取许可。第一节防火墙的根本原理第一节防火墙的根本原理1用用户帐号策略号策略三三、防防火火墙墙的的平平安安策策略略用户权限策略
4、用来允许授权用户使用用户权限策略用来允许授权用户使用系统资源。用户权限一般有两种:对执行系统资源。用户权限一般有两种:对执行特定任务用户的授权可应用于整个系统;特定任务用户的授权可应用于整个系统;对特定对象如目录、文件、打印机等对特定对象如目录、文件、打印机等的规定,这种规定限制用户能否或以何种的规定,这种规定限制用户能否或以何种方式存取对象。方式存取对象。第一节防火墙的根本原理第一节防火墙的根本原理2用用户权限策略限策略三三、防防火火墙墙的的平平安安策策略略通过信任关系在网络中建立域的平安通过信任关系在网络中建立域的平安性。信任关系是两个域中一个域信任另外性。信任关系是两个域中一个域信任另外
5、的域。它包括两个方面:信任域和被信任的域。它包括两个方面:信任域和被信任域。信任域可允许被信任域中的用户在其域。信任域可允许被信任域中的用户在其中使用。中使用。第一节防火墙的根本原理第一节防火墙的根本原理3信任关系策略信任关系策略三三、防防火火墙墙的的平平安安策策略略包过滤路由器根据过滤规那么,来过包过滤路由器根据过滤规那么,来过滤基于标准的数据包,完成包过滤功能。滤基于标准的数据包,完成包过滤功能。其中包括:包过滤控制点;包过滤操作过其中包括:包过滤控制点;包过滤操作过程、包过滤规那么;对地址欺骗、输入输程、包过滤规那么;对地址欺骗、输入输出端口的过滤;出端口的过滤;FTDFTD包与包与UD
6、PUDP包的过滤等。包的过滤等。第一节防火墙的根本原理第一节防火墙的根本原理4包包过滤策略策略三三、防防火火墙墙的的平平安安策策略略目前已有的可以公开的加密算法很多,目前已有的可以公开的加密算法很多,其中最有名的传统加密算法是美国其中最有名的传统加密算法是美国DESDES数数据加密标准和据加密标准和RC5RC5算法、欧洲的算法、欧洲的IDEAIDEA算法、算法、日本的日本的FEALFEAL算法。最有名的公开密钥体制算法。最有名的公开密钥体制是是RSARSA体制、体制、ElgamalElgamal体制等。最有名的数体制等。最有名的数字签名体制是字签名体制是DSSDSS体制、体制、ElgamalE
7、lgamal体制等。体制等。最有名的消息签名体制有最有名的消息签名体制有MD5MD5等。等。 第一节防火墙的根本原理第一节防火墙的根本原理5认证、签名和数据加密策略名和数据加密策略三三、防防火火墙墙的的平平安安策策略略从从InternetInternet的应用来看,密钥管理方的应用来看,密钥管理方式应采用自动化管理,特别对于密钥分配式应采用自动化管理,特别对于密钥分配而言,应采用离线式密钥中心方式。针对而言,应采用离线式密钥中心方式。针对InternetInternet的层次结构,密钥中心的设置应的层次结构,密钥中心的设置应具有相应的层次。而整个密钥体系也应采具有相应的层次。而整个密钥体系也应
8、采用层次结构,以分为主密钥、密钥加密密用层次结构,以分为主密钥、密钥加密密钥和会话密钥三个层次为宜。钥和会话密钥三个层次为宜。 第一节防火墙的根本原理第一节防火墙的根本原理6密密钥分配策略分配策略三三、防防火火墙墙的的平平安安策策略略审计是用来记录如下事件:哪个审计是用来记录如下事件:哪个用户访问哪个对象;访问类型;访问用户访问哪个对象;访问类型;访问过程是否成功等。过程是否成功等。第一节防火墙的根本原理第一节防火墙的根本原理7审计审计策略策略按照防火墙对内外来往数据的处理方法,按照防火墙对内外来往数据的处理方法,大致可以分为两大类:大致可以分为两大类:包过滤包过滤packet filteri
9、ngpacket filtering防火墙防火墙应用代理应用代理application proxyapplication proxy防火墙防火墙又称应用层网关防火墙又称应用层网关防火墙第一节防火墙的根本原理第一节防火墙的根本原理第八章第八章 防火墙防火墙第一节防火墙的根本原理第一节防火墙的根本原理第二节防火墙的分类第二节防火墙的分类第三节第三节 防火墙体系结构防火墙体系结构第四节第四节 防火墙的开展趋势防火墙的开展趋势第二节防火墙的分类第二节防火墙的分类一一、包包过过滤滤防防火火墙墙包过滤作用在网络层和传输层,它根据分组包头源地址,目包过滤作用在网络层和传输层,它根据分组包头源地址,目的地址和
10、端口号、协议类型等标志确定是否允许数据包通过。只有的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包那么被从数据流中丢弃。包那么被从数据流中丢弃。 1包包过滤的概念的概念包过滤防火墙又称为过滤路由器,包过滤防火墙又称为过滤路由器,它通过将包头信息和管理员设定的规那它通过将包头信息和管理员设定的规那么表比较,如果有一条规那么不允许发么表比较,如果有一条规那么不允许发送某个包,路由器就将它丢弃。送某个包,路由器就将它丢弃。一一、包包过过滤滤防防火火墙墙1包包过滤的概念的概念
11、第二节防火墙的分类第二节防火墙的分类包过滤方式有很多优点,而其主要优包过滤方式有很多优点,而其主要优点之一是仅用放置在重要位置上的包过滤点之一是仅用放置在重要位置上的包过滤路由器就可保护整个网络。路由器就可保护整个网络。 1包包过滤的概念的概念一一、包包过过滤滤防防火火墙墙第二节防火墙的分类第二节防火墙的分类虽然包过滤防火墙有许多优点,但它也有虽然包过滤防火墙有许多优点,但它也有一些缺点及局限性:一些缺点及局限性: 1 1在机器中配置包过滤规那么比较困难;在机器中配置包过滤规那么比较困难; 2 2对系统中的包过滤规那么的配置进行对系统中的包过滤规那么的配置进行测试也较麻烦;测试也较麻烦; 3
12、3许多产品的包过滤功能有这样或那样许多产品的包过滤功能有这样或那样的局限性,要寻找一个比较完整的包过滤产品的局限性,要寻找一个比较完整的包过滤产品比较困难。比较困难。 一一、包包过过滤滤防防火火墙墙第二节防火墙的分类第二节防火墙的分类一一、包包过过滤滤防防火火墙墙2包包过滤过滤的根本原理的根本原理 1 1包过滤和网络平安策略包过滤和网络平安策略包过滤还可以用来实现大范围内的网包过滤还可以用来实现大范围内的网络平安策略。网络平安策略必须清楚地说络平安策略。网络平安策略必须清楚地说明被保护的网络和效劳的类型、它们的重明被保护的网络和效劳的类型、它们的重要程度和这些效劳要保护的对象等。要程度和这些效
13、劳要保护的对象等。 第二节防火墙的分类第二节防火墙的分类 2 2包过滤模型包过滤模型包过滤器通常设置于一个或多个网段包过滤器通常设置于一个或多个网段之间。网络段区分为外部网段或内部网段。之间。网络段区分为外部网段或内部网段。外部网段是通过网络将用户的计算机连接外部网段是通过网络将用户的计算机连接到外面的网络上,内部网段用来连接公司到外面的网络上,内部网段用来连接公司内部的主机和其他网络资源。内部的主机和其他网络资源。2包包过滤过滤的根本原理的根本原理一一、包包过过滤滤防防火火墙墙第二节防火墙的分类第二节防火墙的分类3 3包过滤操作包过滤操作 2包包过滤过滤的根本原理的根本原理一一、包包过过滤滤
14、防防火火墙墙包过滤标准必须由包过滤设备端口存储包过滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规那么起来,这些包过滤标准叫包过滤规那么;当包到达端口时,对包的报头进行当包到达端口时,对包的报头进行语法分析语法分析;包过滤规那么以特殊的方式进行存储包过滤规那么以特殊的方式进行存储;第二节防火墙的分类第二节防火墙的分类如果一条规那么允许包传输或接收那么如果一条规那么允许包传输或接收那么该包可以继续处理该包可以继续处理 ;如果一条规那么阻止包传输或接收,此包如果一条规那么阻止包传输或接收,此包便不被允许通过便不被允许通过;如果一个包不满足任何一条规那么,那么如果一个包不满足任何一条规那
15、么,那么该包被阻塞该包被阻塞;2 2包过滤的根本原理包过滤的根本原理一一、包包过过滤滤防防火火墙墙3 3包过滤操作包过滤操作 第二节防火墙的分类第二节防火墙的分类一一、包包过过滤滤防防火火墙墙图8.2 包过滤操作流程图包过滤操作流程包过滤操作流程3包包过滤规过滤规那么那么第二节防火墙的分类第二节防火墙的分类一一、包包过过滤滤防防火火墙墙4依据地址依据地址进行行过滤 用地址进行过滤可以不管使用用地址进行过滤可以不管使用什么协议,仅根据源地址什么协议,仅根据源地址/ /目的地目的地址对流动的包进行过滤。址对流动的包进行过滤。第二节防火墙的分类第二节防火墙的分类一一、包包过过滤滤防防火火墙墙5依据效
16、依据效劳进劳进行行过滤过滤 被拒绝进入内部网络的伪装包主被拒绝进入内部网络的伪装包主要是在依靠地址进行过滤的包过滤系要是在依靠地址进行过滤的包过滤系统中。大多数包过滤系统还涉及到依统中。大多数包过滤系统还涉及到依据效劳进行过滤。据效劳进行过滤。 第二节防火墙的分类第二节防火墙的分类二二、应应用用代代理理防防火火墙墙 应用代理,也叫应用网关应用代理,也叫应用网关application gatewayapplication gateway,它作用,它作用在应用层,其特点是完全在应用层,其特点是完全“阻隔阻隔了网络通信流,通过对每种应了网络通信流,通过对每种应用效劳编制专门的代理程序,实用效劳编制专
17、门的代理程序,实现监视和控制应用层通信流的作现监视和控制应用层通信流的作用。用。 1应用代理概念用代理概念第二节防火墙的分类第二节防火墙的分类二二、应应用用代代理理防防火火墙墙应用代理防火墙的典型配置应用代理防火墙的典型配置第二节防火墙的分类第二节防火墙的分类 应用代理或代理效劳器应用代理或代理效劳器(application (application level proxyorlevel proxyor,proxy server)proxy server)是代理内部是代理内部网络用户与外部网络效劳器进行信息交换的网络用户与外部网络效劳器进行信息交换的程序。它将内部用户的请求确认后送达外部程序。
18、它将内部用户的请求确认后送达外部效劳宝器,同时将外部效劳器的响应再回送效劳宝器,同时将外部效劳器的响应再回送给用户。给用户。二二、应应用用代代理理防防火火墙墙1应用代理概念用代理概念第二节防火墙的分类第二节防火墙的分类 代理的实现过程如下图,代理效劳有两个主要部件:代理代理的实现过程如下图,代理效劳有两个主要部件:代理效劳器和代理客户。效劳器和代理客户。 用户用户代理服务器代理服务器感觉的连接感觉的连接实际的连接实际的连接外部主机外部主机图图8.4 8.4 代理的实现过程代理的实现过程二二、应应用用代代理理防防火火墙墙1应用代理概念用代理概念第二节防火墙的分类第二节防火墙的分类二二、应应用用代
19、代理理防防火火墙墙2代理效代理效劳劳 代理效劳是具有访问互联网能力的主代理效劳是具有访问互联网能力的主机作为那些无权访问互联网主机的代理,机作为那些无权访问互联网主机的代理,这样使得一些不能访问互联网的主机通过这样使得一些不能访问互联网的主机通过代理效劳也可以完成访问互联网的工作。代理效劳也可以完成访问互联网的工作。第二节防火墙的分类第二节防火墙的分类二二、应应用用代代理理防防火火墙墙3. 代理效代理效劳劳的工作方法的工作方法 代理效劳的工作细节对每一种效劳器代理效劳的工作细节对每一种效劳器都是不同的,一些效劳已自动地提供了代都是不同的,一些效劳已自动地提供了代理,对于这些效劳可以通过对正常效
20、劳器理,对于这些效劳可以通过对正常效劳器的配置来设置代理。但对于大多数效劳来的配置来设置代理。但对于大多数效劳来说,代理效劳在效劳器上要求运行特殊的说,代理效劳在效劳器上要求运行特殊的代理效劳器软件。代理效劳器软件。 第二节防火墙的分类第二节防火墙的分类在客户端可以有以下两种方法在客户端可以有以下两种方法:3. 代理效代理效劳劳的工作方法的工作方法二二、应应用用代代理理防防火火墙墙 (1)定制客户软件。采用这种方法,软件必定制客户软件。采用这种方法,软件必须知道当用户提出请求时怎样与代替真实效劳须知道当用户提出请求时怎样与代替真实效劳器的代理效劳器进行连接,并且告诉代理效劳器的代理效劳器进行连
21、接,并且告诉代理效劳器如何与真实效劳器连接。器如何与真实效劳器连接。第二节防火墙的分类第二节防火墙的分类 (2)定制客户过程。采用这种方法时,用户使用标准的客户定制客户过程。采用这种方法时,用户使用标准的客户软件与代理效劳器连接,并通知代理效劳器与真实效劳器连接,软件与代理效劳器连接,并通知代理效劳器与真实效劳器连接,以此来代替与真实效劳器的连接。以此来代替与真实效劳器的连接。二二、应应用用代代理理防防火火墙墙3. 代理效代理效劳劳的工作方法的工作方法第二节防火墙的分类第二节防火墙的分类二二、应应用用代代理理防防火火墙墙4. 代理效代理效劳劳器的使用器的使用 代理效劳器有一些特殊类型,主要表现
22、代理效劳器有一些特殊类型,主要表现为应用级与回路级代理、公共与专用代理效为应用级与回路级代理、公共与专用代理效劳器和智能代理效劳器。劳器和智能代理效劳器。 1 1应用级与回路级代理应用级与回路级代理 应用级代理是代理效劳为哪个应用提供的代理,应用级代理是代理效劳为哪个应用提供的代理,它能了解并解释应用协议中的命令;而回路级代理在它能了解并解释应用协议中的命令;而回路级代理在客户端与效劳器之间不解释应用协议中的命令就建立客户端与效劳器之间不解释应用协议中的命令就建立了连接回路。了连接回路。 2 2公共与专用代理效劳器公共与专用代理效劳器 一个专用效劳器只适用于单个协议,而一一个专用效劳器只适用于
23、单个协议,而一个公共代理效劳器那么适用多个协议。实际上个公共代理效劳器那么适用多个协议。实际上专用代理效劳器是应用级的,而公共代理效劳专用代理效劳器是应用级的,而公共代理效劳器是属于回路级的。器是属于回路级的。 3 3智能代理效劳器智能代理效劳器 如果一个代理效劳器不仅能处理转发请求,同时还如果一个代理效劳器不仅能处理转发请求,同时还能够做其他许多事情的话,这样的代理效劳器就称为智能够做其他许多事情的话,这样的代理效劳器就称为智能代理效劳器。对于一个专用的应用级代理来说很容易能代理效劳器。对于一个专用的应用级代理来说很容易升级到智能代理效劳器,但对一个回路级的代理来说那升级到智能代理效劳器,但
24、对一个回路级的代理来说那么比较困难。么比较困难。第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 1传统防火防火墙分析分析 基于网络地址转换network address translator, NAT的复合型防火墙系统,它融合了代理技术的高性能和包过滤技术高效性的优点。 第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 2设计思想思想 集中访问控制技术是在效劳请求时由网关负责鉴别,一旦鉴别成功,其后的报文交互都直接通过TCP/IP层的过滤规那么,无需象应用层代理那样逐个报文转发,这就实现了与代理方式同样的平安水平而处理量大幅下降,性能随即得到大大提高。
25、另一方面,NAT技术通过在网关上对进出IP包源与目的地址的转换,实现过滤规那么的动态化。 第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 3系系统设计基于基于WebWeb的防火墙管理系统的防火墙管理系统集中访问控集中访问控制模块制模块临时访问端临时访问端口表口表认证访问控认证访问控制系统制系统网络安全监网络安全监控系统控系统NATNAT模块模块内内部部网网内内部部网网图图8.5 8.5 基于基于NATNAT的复合型防火墙系统总体结构模型的复合型防火墙系统总体结构模型 图给出了基于图给出了基于NAT的复合型防火墙系统的总体的复合型防火墙系统的总体结构模型,由五大模块组成。结
26、构模型,由五大模块组成。 第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 3系系统设计 NAT模块依据一定的规那么,对所有出模块依据一定的规那么,对所有出入的数据包进行源与目的地址识别,并将由入的数据包进行源与目的地址识别,并将由内向外的数据包中源地址替换成一个真实地内向外的数据包中源地址替换成一个真实地址,而将由外向内的数据包中的目的地址替址,而将由外向内的数据包中的目的地址替换成相应的虚拟地址换成相应的虚拟地址 第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 集中访问控制集中访问控制CACCAC模块负责响应所有模块负责响应所有指定的由外向内的效劳
27、访问,通知认证访问指定的由外向内的效劳访问,通知认证访问控制系统实施平安鉴别,为合法用户建立相控制系统实施平安鉴别,为合法用户建立相应的连接,并将这一连接的相关信息传递给应的连接,并将这一连接的相关信息传递给NATNAT模块,保证在后续的报文传输时直接转发模块,保证在后续的报文传输时直接转发而无需控制模块干预。而无需控制模块干预。3系系统设计第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 临时访问端口表及连接控制临时访问端口表及连接控制TLTCTLTC模块通过模块通过监视外向型连接的端口数据动态维护一张临时端口监视外向型连接的端口数据动态维护一张临时端口表,记录所有由内向
28、外的连接的源与目的端口信息,表,记录所有由内向外的连接的源与目的端口信息,根据此表及预先配置好的协议集由连接控制模块决根据此表及预先配置好的协议集由连接控制模块决定哪些连接是允许的而哪些是不允许的,即根据所定哪些连接是允许的而哪些是不允许的,即根据所制定的规那么平安政策禁止相应的由外向内发制定的规那么平安政策禁止相应的由外向内发起的连接,以防止攻击者利用网关允许的由内向外起的连接,以防止攻击者利用网关允许的由内向外的访问协议类型做反向的连接访问。的访问协议类型做反向的连接访问。3 3系统设计系统设计 第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 认证与访问控制系统是防火
29、墙系统的认证与访问控制系统是防火墙系统的关键环节,它按照网络平安策略负责对通关键环节,它按照网络平安策略负责对通过防火墙的用户实施用户的身份鉴别和对过防火墙的用户实施用户的身份鉴别和对网络信息资源的访问控制,保证合法用户网络信息资源的访问控制,保证合法用户正常访问和禁止非法用户访问。正常访问和禁止非法用户访问。 3系系统设计第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 网络监控系统负责截取到达防火墙网网络监控系统负责截取到达防火墙网关的所有数据包,对信息包报头和内容进关的所有数据包,对信息包报头和内容进行分析,检测是否有攻击行为,并实时通行分析,检测是否有攻击行为,并实
30、时通知系统管理员。知系统管理员。 3 3系统设计系统设计 第二节防火墙的分类第二节防火墙的分类三三、 复复合合型型防防火火墙墙 1 1网络地址转换模块网络地址转换模块 2 2集中访问控制模块集中访问控制模块 3 3临时访问端口表临时访问端口表 4 4认证与访问控制系统认证与访问控制系统 5 5网络平安监控系统网络平安监控系统 6 6基于基于WEBWEB的防火墙管理系统的防火墙管理系统 4系系统的的实现 第二节防火墙的分类第二节防火墙的分类第八章第八章 防火墙防火墙第一节防火墙的根本原理第一节防火墙的根本原理第二节防火墙的分类第二节防火墙的分类第三节第三节 防火墙体系结构防火墙体系结构第四节第四
31、节 防火墙的开展趋势防火墙的开展趋势一、防火墙体系结构1. 双重宿主主机体系双重宿主主机体系结构构 双重宿主主机体系结构是围绕具有双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的可以充当与这些接口相连的网络之间的路由器,并能够从一个网络向另一个网路由器,并能够从一个网络向另一个网络发送络发送IPIP数据包。数据包。 第三节第三节 防火墙体系结构防火墙体系结构一、防火墙体系结构1. 双重宿主主机体系双重宿主主机体系结构构第三节第三节 防火墙体系结
32、构防火墙体系结构一、防火墙体系结构2. 主机主机过滤体系体系结构构第三节第三节 防火墙体系结构防火墙体系结构一、防火墙体系结构3. 子网子网过滤体系体系结构构第三节第三节 防火墙体系结构防火墙体系结构二、防火墙的变化和组合一般有以下几种形式:一般有以下几种形式:使用多堡垒主机;使用多堡垒主机;合并内部路由器和外部路由器;合并内部路由器和外部路由器;合并堡垒主机与外部路由器;合并堡垒主机与外部路由器;合并堡垒主机与内部路由器;合并堡垒主机与内部路由器;合并多台内部路由器;合并多台内部路由器;合并多台外部路由器;合并多台外部路由器;使用多个参数网络;使用多个参数网络;使用双重宿主主机与子网过滤。使
33、用双重宿主主机与子网过滤。第三节第三节 防火墙体系结构防火墙体系结构三三、堡堡垒垒主主机机 设计和建立堡垒主机的根本原那么有两条:最简设计和建立堡垒主机的根本原那么有两条:最简化原那么和预防原那么。化原那么和预防原那么。1 1最简化原那么最简化原那么在堡垒主机上设置的效劳必须最少,同时对必须设置在堡垒主机上设置的效劳必须最少,同时对必须设置的效劳软件只能给予尽可能低的权限。的效劳软件只能给予尽可能低的权限。2 2预防原那么预防原那么要尽量使堡垒主机不被破坏,但同时又必须时刻提防要尽量使堡垒主机不被破坏,但同时又必须时刻提防“它一旦被攻破怎么办?。一旦堡垒主机被破坏,它一旦被攻破怎么办?。一旦堡
34、垒主机被破坏,我们还得尽力让内部网络仍处于平安保障之中。我们还得尽力让内部网络仍处于平安保障之中。第三节第三节 防火墙体系结构防火墙体系结构1. 建立堡建立堡垒垒主机的一般原那么主机的一般原那么三三、堡堡垒垒主主机机2. 堡堡垒主机的种主机的种类 堡垒主机目前一般有三种类型:堡垒主机目前一般有三种类型:无路由无路由双宿主主机双宿主主机、牺牲主机牺牲主机和和内部堡垒主机。内部堡垒主机。 无路由双宿主主机有无路由双宿主主机有多个网络接口,但这些接多个网络接口,但这些接口间没有信息流。口间没有信息流。 牺牲主机是一种上面没牺牲主机是一种上面没有任何需要保护信息的主机,有任何需要保护信息的主机,同时它
35、又不与任何入侵者想同时它又不与任何入侵者想利用的主机相连。利用的主机相连。 堡垒主机可与某些内部主机堡垒主机可与某些内部主机进行交互。这些内部主机其实是进行交互。这些内部主机其实是有效的次级堡垒主机,对它们就有效的次级堡垒主机,对它们就应像堡垒主机一样加以保护。应像堡垒主机一样加以保护。 第三节第三节 防火墙体系结构防火墙体系结构三三、堡堡垒垒主主机机3. 堡堡垒主机的主机的选择 1堡垒主机操作系统的选择堡垒主机操作系统的选择 应该选择较为熟悉的系统作为堡垒主机应该选择较为熟悉的系统作为堡垒主机的操作系统。的操作系统。第三节第三节 防火墙体系结构防火墙体系结构三三、堡堡垒垒主主机机3. 堡堡垒
36、主机的主机的选择 2堡垒主机速度的选择堡垒主机速度的选择 作为堡垒主机的计算机并不要求有很高的作为堡垒主机的计算机并不要求有很高的速度。选用功能并不十分强大的机器作为堡速度。选用功能并不十分强大的机器作为堡垒主机反而更好。垒主机反而更好。第三节第三节 防火墙体系结构防火墙体系结构三三、堡堡垒垒主主机机3. 堡堡垒主机的主机的选择 3堡垒主机的硬件堡垒主机的硬件 在选择堡垒主机及它的外围设备时,应慎在选择堡垒主机及它的外围设备时,应慎选产品;不可选太旧的产品;堡垒主机的内选产品;不可选太旧的产品;堡垒主机的内存要大,并配置有足够的交换空间。;需要存要大,并配置有足够的交换空间。;需要有较大的磁盘
37、空间作为存储缓冲。有较大的磁盘空间作为存储缓冲。第三节第三节 防火墙体系结构防火墙体系结构三三、堡堡垒垒主主机机3. 堡堡垒主机的主机的选择 4堡垒主机的物理位置堡垒主机的物理位置 位置要平安位置要平安 堡垒主机在网络上的位置堡垒主机在网络上的位置第三节第三节 防火墙体系结构防火墙体系结构三三、堡堡垒垒主主机机3. 堡堡垒主机的主机的选择 5堡垒主机提供的效劳堡垒主机提供的效劳 堡垒主机应当提供站点所需求的所有与互堡垒主机应当提供站点所需求的所有与互联网有关的效劳,同时还要经过包过滤提供联网有关的效劳,同时还要经过包过滤提供内部网络向外界的效劳。任何与外部网络无内部网络向外界的效劳。任何与外部
38、网络无关的效劳都不应放置在堡垒主机上。关的效劳都不应放置在堡垒主机上。第三节第三节 防火墙体系结构防火墙体系结构三三、堡堡垒垒主主机机3. 堡堡垒主机的主机的选择 我们将可以由堡垒主机提供的效劳分成以下四我们将可以由堡垒主机提供的效劳分成以下四个级别。个级别。无风险效劳,仅仅通过包过滤便可实施的效劳。无风险效劳,仅仅通过包过滤便可实施的效劳。低风险效劳,在有些情况下这些效劳运行时有平低风险效劳,在有些情况下这些效劳运行时有平安隐患,但加以一些平安控制措施便可消除平安问安隐患,但加以一些平安控制措施便可消除平安问题,这类效劳只能由堡垒主机提供。题,这类效劳只能由堡垒主机提供。高风险效劳,在使用这
39、些效劳时无法彻底消除平高风险效劳,在使用这些效劳时无法彻底消除平安隐患;这类效劳一般应被禁用,特别需要时也只安隐患;这类效劳一般应被禁用,特别需要时也只能放置在主机上使用。能放置在主机上使用。禁用效劳,应被彻底禁止使用的效劳。禁用效劳,应被彻底禁止使用的效劳。第三节第三节 防火墙体系结构防火墙体系结构三三、堡堡垒垒主主机机3. 3. 堡垒主机的选择堡垒主机的选择 电子邮件电子邮件SMTPSMTP是堡垒主机应提供的是堡垒主机应提供的最根本的效劳,其他还应提供的服最根本的效劳,其他还应提供的服FTPFTP,文件传输效劳;,文件传输效劳;WHISWHIS,基于关键字的信息浏览效劳;,基于关键字的信息
40、浏览效劳;HTTPHTTP,超文本方式的信息浏览效劳;,超文本方式的信息浏览效劳;NNTPNNTP,UsenetUsenet新闻组效劳;新闻组效劳;RTSPRTSP,实时视频音频效劳;,实时视频音频效劳; 为了支持以上这些效劳,堡垒主机还应为了支持以上这些效劳,堡垒主机还应有域名效劳有域名效劳DNSDNS。第三节第三节 防火墙体系结构防火墙体系结构 防火墙是目前使用最为广泛的网络平安产防火墙是目前使用最为广泛的网络平安产品之一,用户在选购时应该注意以下几点:品之一,用户在选购时应该注意以下几点: 1 1防火墙自身的平安性防火墙自身的平安性 2 2系统的稳定性系统的稳定性 3 3是否高效是否高效
41、 4 4是否可靠是否可靠 5 5是否功能灵活是否功能灵活 6 6是否配置方便是否配置方便 7 7是否管理简便是否管理简便 8 8是否可以抵抗拒绝效劳攻击是否可以抵抗拒绝效劳攻击 9 9是否可以针对用户身份过滤是否可以针对用户身份过滤 1010是否可扩展、可升级是否可扩展、可升级第三节第三节 防火墙体系结构防火墙体系结构第八章第八章 防火墙防火墙第一节防火墙的根本原理第一节防火墙的根本原理第二节防火墙的分类第二节防火墙的分类第三节第三节 防火墙体系结构防火墙体系结构第四节第四节 防火墙的开展趋势防火墙的开展趋势第四节第四节 防火墙的开展趋势防火墙的开展趋势一一、模模式式转转变变 越来越多的防火墙
42、产品也开始表达出一种分布式结构。以分布式为体系进行设计的防火墙产品以网络节点为保护对象,可以最大限度地覆盖需要保护的对象,大大提升平安防护强度。二二、 功功能能扩扩展展 防火墙的管理功能一直在迅猛开防火墙的管理功能一直在迅猛开展,并且不断地提供一些方便好用的展,并且不断地提供一些方便好用的功能给管理员,这种趋势仍将继续,功能给管理员,这种趋势仍将继续,更多新颖实效的管理功能会不断地涌更多新颖实效的管理功能会不断地涌现出来。现出来。第四节第四节 防火墙的开展趋势防火墙的开展趋势三三、性性能能提提高高 未来的防火墙产品会呈现出更强的未来的防火墙产品会呈现出更强的处理性能要求,而寄希望于硬件性能的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在证的性能提升手段将越来越多的应用在防火墙产品平台上。防火墙产品平台上。第四节第四节 防火墙的开展趋势防火墙的开展趋势
