第7章防火墙技术与应用.ppt

1、第7章 防火墙技术与应用,7.1 防火墙概述 7.2 防火墙的体系结构 7.3 防火墙的类型 7.4 防火墙的配置 7.5 防火墙所采用的技术及其作用 7.6 防火墙的选择与实施,I T 领域使用的防火墙概念,在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙 = 硬件 + 软件 + 控制策略,防火墙的基本特性 （一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙 （二）只有符合安全策略的数据流才能通过防火墙 （三）防火墙自身应具有非常强的抗攻击免疫力,需要防火墙： 保障内部网安全 保证内部

2、网同外部网的连通,网络安全的屏障； 强化网络安全策略； 对网络存取和访问进行监控审计； 防止内部信息的外泄。,防火墙的功能,防火墙的安全性设计,防火墙的缺陷 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失： 不能防范不经由防火墙的攻击； 不能防止受病毒感染的软件和文件的传输； 不能防止数据驱动式攻击。,7.2 防火墙的体系结构,三种系统结构： 双目主机结构 屏蔽主机结构 屏蔽子网结构,堡垒主机（Bastion Host）：暴露在外部网络的攻击之下，同时又是内部网络用户的主要连接点，安全性配置比较好的计算机。堡垒主机上运行着防火墙软件，可以转发应用程序、提供服务等。,几个相关概念

3、,DMZ(Demilitarized Zone，非军事区或者停火区)：位于内部网络和外部网络之间的另一层安全网段构成的安全子网，也称为参数子网。,双目主机（Dual-homed Host）：装有两块网卡的堡垒主机。,双目主机结构,缺点：一旦防火墙被破坏，双目主机就变成了一台没有任何限制的路由器。,屏蔽主机结构,缺点：堡垒主机与其他主机在同一个子网，一旦堡垒主机被攻破或被越过，整个内网和堡垒主机之间就再也没有任何阻挡。,屏蔽子网结构,优点：三层防护，安全性高 缺点：要求的设备和软件模块较多，配置贵且复杂,根据防火墙对内外往来数据的处理方法，大致分为： 包过滤防火墙（Packet Filter）

4、代理防火墙（Proxy Service）,防火墙的类型,数据包过滤技术 防火墙为系统提供安全保障的主要技术，通过设备对进出网络的数据流进行有选择的控制和操作。,包过滤防火墙,工作原理： 在网络层对数据包进行选择和过滤。 过滤规则以IP包包头信息为基础 选择的依据是在系统内设置的过滤逻辑，被称为访问控制表Access Control List或规则表。,过滤规则设置实例,按地址,按服务,防火墙的安全性设计,防火墙基本准则 一切未被允许的就是禁止的 一切未被禁止的都是允许的,状态检测防火墙,实时建立一个所有合法连接的状态表，连接只是在最开始访问的时候去匹配防火墙的规则，以后这个连接的所有访问都是只

5、检查状态表,代理防火墙又称代理服务器，是代表客户处理在服务器连接请求的程序。 工作原理：,代理防火墙,应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过,应用层网关防火墙,优点：安全，同时也是内外网的隔离点,缺点：速度相对比较慢，不适合对吞吐量要求比较高的场合。,电路层网关防火墙,又称自适应代理防火墙 基本要素：自适应代理服务器和动态包过滤器 工作原理：用户将所需要的服务类型、安全级别等信息通过管理界面进行设置，自适应代理可以根据用户的配置信息，决定是使用代理服务从应用层代理请求或是从网络层转发数据包。 特点：结合了应用层网关防火墙的安全性和包过滤防火墙的高速度。,两种防火墙技术

6、,两种防火墙技术的对比,网络地址转换/翻译（NAT，Network Address Translation）是一种用于把内部IP地址转换成临时的、外部的IP地址的技术。NAT的主要作用： 隐藏内部网络的真实地址； 解决IP地址短缺的问题。,网络地址转换技术,私有地址： 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255,静态地址映射：外部地址和内部地址一对一的映射； 动态地址映射：支持多对一的映射，即内部的多个机器可以通过一个外部有效地址访问外部网络。 PAT（端口地址映射）：把内部地址映射

7、到外部网络的一个IP地址的不同端口上。,网络地址转换技术,防火墙,101.211.23.4,源地址：192.168.1.21 目地址：202.102.93.54,源地址：101.211.23.2 目地址：202.102.93.54,101.211.23.1,隐藏了内部IP地址公开地址不足的网络可以使用这种方式提供IP复用功能,网络地址转换技术,101.211.23.3,101.211.23.2,地址池： 101.211.23.2 101.211.23.3,101.211.23.2：1058 101.211.23.2：1158,传统防火墙：采用数据匹配检查技术；边界防火墙。智能防火墙：采用人工智

8、能识别技术（统计、记忆、概率和决策等） 分布式防火墙：一种新的防火墙体系结构,消除网络边界上的通信瓶颈和单一故障点，与拓扑无关，支持移动计算。,防火墙发展,网络安全产品的系统化,“以防火墙为核心的网络安全体系”直接把相关安全产品“做”到防火墙中各个产品相互分离，但是通过某种通信方式形成一个整体 防火墙联动技术：,防火墙与防病毒产品联动防火墙与IDS联动防火墙与认证系统联动防火墙与日志分析系统联动,1.个人防火墙：可为个人计算机提供简单的防火墙功能； 2.软件防火墙：作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。 3.一般硬件防火墙：一台嵌入式主机，机箱+CPU+防火墙软件，核心仍然是软件。 4.纯硬件防火墙：采用专用芯片来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙；安全与性能同时兼顾，高性能，高并发连接数和吞吐量。,防火墙的分类,