1、主讲人:计算机与信息科学学院 楼英浩,第4章 防火墙技术,4.1 防火墙基本知识,4.1.1 什么是防火墙? 不设防的TCP/IP环境 “蠕虫”病毒与网络安全 Internet的安全性的保障 访问控制服务 通信安全服务,定义:防火墙是设置在用户网络和外界之间的一道屏障,防止不可预料的、潜在的破坏侵入用户网络。防火墙在开放和封闭的界面上构造一个保护层,属于内部范围的业务,依照协议在授权许可下进行;外部对内部网络的访问受到防火墙的限制。,防火墙具有五大基本功能 过滤进出网络的数据包 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警,4.1.2
2、 防火墙的优点和缺陷 防火墙的优点 允许网络管理员定义一个中心“遏制点”来防止非法用户进入网络内部 保护网络中脆弱的服务 通过防火墙,用户可以很方便地监视网络的安全性,并产生报警信息 集中安全性 增强保密性、强化私有权 防火墙是审计和记录网络流量的一个最佳地方,防火墙的主要缺陷有: 限制有用的网络服务 不能有效防护内部网络用户的攻击 Internet防火墙无法防范通过防火墙以外的其他途径的攻击 防火墙也不能完全防止传送已感染病毒的软件或文件 防火墙无法防范数据驱动型的攻击 不能防备新的网络安全问题,4.2 防火墙体系结构,4.2.1 包过滤型防火墙 1.基本概念,2.IP报头 包过滤路由器一般
3、检查报头部分的如下内容 IP源地址和IP目标地址 上层协议(ICP、UDP、ICMP)等 TCP/UDP源端口和TCP/UDP目标端口 ICMP消息类型 TCP包头中的ACK位等,包过滤型防火墙能拦截和检查所有出去和进来的数据包 包过滤型的防火墙遵循的一条基本原则是“最小特权原则” 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据,因为多数服务监听者都在已知的TCP/UDP端口号上。,3.包过滤型防火墙的特点 包过滤防火墙工作在网络层,根据数据包的报头部分进行判断处理,不分析数据部分,因此处理包的速度比较快 实施费用低廉 包过滤路由器对用户和应用来说是透明的,4.包过滤型防火墙的缺
4、点 定义数据包过滤规则会比较复杂 只能阻止一种类型的IP欺骗 直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险 不支持用户认证方式 不能提供有用的日志 随着过滤规则的复杂化和通过路由器进行处理的数据包数目的增加,路由器的吞吐量会下降 IP包过滤器无法对网络上流动的信息提供全面的控制。,4.2.2 双宿网关防火墙 1.基本概念,双重宿主主机用两种方式来提供服务 直接登录 危险的服务方式,因为需要账号 运行代理服务器 常见的服务方式,2.代理服务器的特点 节约合法的C类IP地址 通过缓存能够加快浏览速度 较好的安全性 可以进行过滤 强大的日志功能 对服务器主机的依赖性高,代理服务器的分类
5、应用层代理 传输层代理 SOCKS代理,SOCKS代理,可用的最强大、最灵活的代理标准协议 SOCKS服务器和SOCKS客户端 SOCKS的主要特性 简便的用户认证和建立通信信道 与具体应用无关 灵活的访问控制策略 支持双向代理,4.常用的代理服务器 MS Proxy NS Proxy WinGate小作业:了解什么是代理服务器软件?,5.包过滤型防火墙与代理防火墙的比较,4.2.3 屏蔽子网防火墙,两个包过滤路由器和一个堡垒主机 三层保护机制 内部路由器的主要功能 外部路由器的主要功能 堡垒主机的主要功能,4.3 常见的防火墙产品,4.3.1 国外的防火墙产品 Check Point Firewall Cisco PIX AXENT Raptor NAI 的 Gauntlet Firewall 5.0 for NT/Unix Novell 的 BorderManager,4.3.2 国内的防火墙产品 清华紫光的Unisecure系列防火墙 实达朗新的NetShine网络防火墙 天融信的网络卫士防火墙,4.3.3 如何选择防火墙 所有在内部网络和外部网络之间传输的数据都必须通过防火墙 只有被授权的合法数据,即防火墙系统中安全策略允许的数据可以通过防火墙 防火墙本身不受各种攻击的影响 具有可扩展性 人机界面友好,
