第06講 防火墻技術(shù)

1、2024/3/21,主講 楊照峰,E-mail：yiyangxf@sohu.com,計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù),2024/3/21,第6講 防火墻技術(shù),2024/3/21,FireWall,在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。一般它位于路由器之后，為進(jìn)出網(wǎng)絡(luò)的連接提供安全訪問控制。本節(jié)通過以下內(nèi)容介紹防火墻技術(shù)的原理和應(yīng)用。防火墻基本概念防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的分類,2024/3/21,一、防火墻基本

2、概念,防火墻的基本知識防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。通常，防火墻就是位于內(nèi)部網(wǎng)或Web站點(diǎn)與因特網(wǎng)之間的一個(gè)路由器或一臺計(jì)算機(jī)，又稱為堡壘主機(jī)。其目的如同一個(gè)安全門，為門內(nèi)的部門提供安全，控制那些可被允許出入該受保護(hù)環(huán)境的人或物。就像工作在前門的安全

3、衛(wèi)士，控制并檢查站點(diǎn)的訪問者。,2024/3/21,一、防火墻基本概念（續(xù)）,防火墻是由管理員為保護(hù)自己的網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又允許與因特網(wǎng)聯(lián)接而發(fā)展起來的。從網(wǎng)際角度，防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計(jì)劃和安全策略中的定義來保護(hù)其后面的網(wǎng)絡(luò)。由軟件和硬件組成的防火墻應(yīng)該具有以下功能。（1）所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻。（2）所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)。（3）理論上說

4、，防火墻是穿不透的。,2024/3/21,一、防火墻基本概念（續(xù)）,內(nèi)部網(wǎng)需要防范的三種攻擊有：間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。盜竊：盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間和CPU資源等。破壞系統(tǒng)：通過路由器或主機(jī)／服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng) （外部網(wǎng)）和服務(wù)器。這里，防火墻的作用是保護(hù)Web站點(diǎn)和公司的內(nèi)部網(wǎng)，使之免遭因特網(wǎng)上各種危險(xiǎn)的侵犯。,2024/3/21,一、防火墻基本概念（續(xù)

5、）,從邏輯上講，防火墻是分離器、限制器和分析器。從物理角度看，各站點(diǎn)防火墻物理實(shí)現(xiàn)的方式有所不同。通常防火墻是一組硬件設(shè)備，即路由器、主計(jì)算機(jī)或者是路由器、計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。,,2024/3/21,防火墻在網(wǎng)絡(luò)中的位置,安裝防火墻以前的網(wǎng)絡(luò),2024/3/21,防火墻在網(wǎng)絡(luò)中的位置,安裝防火墻后的網(wǎng)絡(luò),2024/3/21,防火墻在網(wǎng)絡(luò)中的位置,DMZ區(qū)(demilitarized zone，也稱非軍事區(qū))

6、 DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。 通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。這樣，不管是外部還是內(nèi)部與對

7、外服務(wù)器交換信息數(shù)據(jù)也要通過防火墻，實(shí)現(xiàn)了真正意義上的保護(hù)。,2024/3/21,一、防火墻基本概念（續(xù)）,防火墻的基本功能（1）防火墻能夠強(qiáng)化安全策略（2）防火墻能有效地記錄因特網(wǎng)上的活動（3）防火墻限制暴露用戶點(diǎn)（4）防火墻是一個(gè)安全策略的檢查站附加功能：NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換VPN（Virtual Personal Network ）虛擬專用網(wǎng)RM（Rou

8、te Management）路由管理,2024/3/21,一、防火墻基本概念（續(xù)）,防火墻的不足之處（1）不能防范惡意的知情者（2）防火墻不能防范不通過它的連接（3）防火墻不能防備全部的威脅（4）防火墻不能防范病毒,2024/3/21,二、防火墻的核心技術(shù),包過濾代理服務(wù)狀態(tài)監(jiān)視,2024/3/21,1.包過濾,包過濾是一種保安機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。高層IP（因特網(wǎng)協(xié)議）網(wǎng)絡(luò)的概念:

9、一個(gè)文件要穿過網(wǎng)絡(luò)，必須將文件分成小塊，每小塊文件單獨(dú)傳輸。把文件分成小塊的做法主要是為了讓多個(gè)系統(tǒng)共享網(wǎng)絡(luò)，每個(gè)系統(tǒng)可以依次發(fā)送文件塊。在IP網(wǎng)絡(luò)中，這些小塊被稱為包。所有的信息傳輸都是以包的方式來實(shí)施的。,2024/3/21,1.包過濾（續(xù)）,每個(gè)數(shù)據(jù)包都包含有特定信息的一組報(bào)頭，其主要信息是：（1）IP協(xié)議類型（TCP、UDP，ICMP等）；（2）IP源地址；（3）IP目標(biāo)地址；（4）IP選擇域的內(nèi)容；（5）TCP

10、或UDP源端口號；（6）TCP或UDP目標(biāo)端口號；（7）ICMP消息類型。路由器也會得到一些在數(shù)據(jù)包頭部信息種沒有得到的關(guān)于數(shù)據(jù)包得其他信息。,2024/3/21,1.包過濾（續(xù)）,數(shù)據(jù)包的封裝,,2024/3/21,包過濾操作流程圖,,1.包過濾（續(xù)）,2024/3/21,1.包過濾（續(xù)）,包過濾是如何工作的 包過濾通過檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許

11、該數(shù)據(jù)包通過。包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的判據(jù)：（1）將包的目的地址作為判據(jù)；（2）將包的源地址作為判據(jù)；（3）將包的傳送協(xié)議作為判據(jù)。,2024/3/21,數(shù)據(jù)包過濾特性,2024/3/21,1.包過濾（續(xù)）,包過濾系統(tǒng)只能讓我們進(jìn)行類似以下情況的操作：（1）不讓任何用戶從外部網(wǎng)用Telnet登錄；（2）允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；（3）只允許某臺機(jī)器通過NNT

12、P往內(nèi)部網(wǎng)發(fā)新聞。包過濾不能允許我們進(jìn)行如下的操作： （1）允許某個(gè)用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進(jìn)行這種操作； （2）允許用戶傳送一些文件而不允許用戶傳送其它文件。,2024/3/21,1.包過濾（續(xù)）,包過濾的優(yōu)點(diǎn)包過濾方式有許多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用一個(gè)放置在重要位置上的包過濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。如果我們的站點(diǎn)與因特網(wǎng)間只有一臺路由器，那么不管站點(diǎn)規(guī)模有多大，只要在這臺路

13、由器上設(shè)置合適的包過濾，我們的站點(diǎn)就可獲得很好的網(wǎng)絡(luò)安全保護(hù)。包過濾的缺點(diǎn) （1）在機(jī)器中配置包過濾規(guī)則比較困難；（2）對系統(tǒng)中的包過濾規(guī)則的配置進(jìn)行測試也較麻煩； （3）許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要找一個(gè)比較完整的包過濾產(chǎn)品比較困難。,2024/3/21,2.代理服務(wù),代理服務(wù)器接收客戶請求后，會檢查并驗(yàn)證其合法性。代理服務(wù)的條件是具有訪問因特網(wǎng)能力的主機(jī)才可以作為那些無權(quán)訪問因特網(wǎng)的主機(jī)的代理，

14、這樣使得一些不能訪問因特網(wǎng)的主機(jī)通過代理服務(wù)也可以完成訪問因特網(wǎng)的工作。代理服務(wù)是在雙重宿主主機(jī)或堡壘主機(jī)上運(yùn)行一個(gè)具有特殊協(xié)議或一組協(xié)議。使一些僅能與內(nèi)部用戶交談的主機(jī)同樣也可以與外界交談，這些用戶的客戶程序通過與該代理服務(wù)器交談來代替直接與外部因特網(wǎng)中的服務(wù)器的“真正的”交談。代理服務(wù)器判斷從客戶端來的請求并決定哪些請求允許傳送而哪些應(yīng)被拒絕。當(dāng)某個(gè)請求被允許時(shí)，代理服務(wù)器就代表客戶與真正的服務(wù)器進(jìn)行交談，并將從客戶端來的請求

15、傳送給真實(shí)服務(wù)器，將真實(shí)服務(wù)器的回答傳送給客戶。,2024/3/21,2.代理服務(wù)（續(xù)）,,代理的實(shí)現(xiàn)過程,,,2024/3/21,2.代理服務(wù)（續(xù)）,代理服務(wù)的工作方法代理工作的細(xì)節(jié)對每一種服務(wù)是不同的，代理服務(wù)在服務(wù)器上要求運(yùn)行合適的代理服務(wù)器軟件。在客戶端可以有以下不同的方法。（1）定制客戶軟件。 （2）定制客戶過程。,2024/3/21,2.代理服務(wù)（續(xù)）,用于因特網(wǎng)服務(wù)的代理特性因特網(wǎng)上的主要服務(wù)功能有電子郵件

16、E-mail．簡單郵件傳輸協(xié)議SMTP、郵局協(xié)議POP、文件傳輸FTP、遠(yuǎn)程登錄Telnet、存儲轉(zhuǎn)發(fā)協(xié)議NNTP、萬維網(wǎng)WWW、域名服務(wù)DNS等。 1．電子郵件（E-mail） （1）一個(gè)服務(wù)器，用來向外部主機(jī)發(fā)送郵件或從外部主機(jī)接收郵件。 （2）發(fā)信代理，用于將郵件正確地放入本地主機(jī)郵箱中。 （3）用戶代理，用于讓收信人閱讀郵件并編排出站郵件。,2024/3/21,2.代理服務(wù)（續(xù)）,2．簡單郵件

17、傳輸協(xié)議（SMTP）的代理特點(diǎn)因?yàn)镾MTP是一個(gè)存儲轉(zhuǎn)發(fā)協(xié)議，所以它特別適合于進(jìn)行代理。由于任何一個(gè)SMTP服務(wù)器都有可能為其它站點(diǎn)進(jìn)行郵件轉(zhuǎn)發(fā)，因而很少將它設(shè)置成一個(gè)單獨(dú)的代理。大多數(shù)站點(diǎn)將輸入的SMTP連接到一臺安全運(yùn)行SMTP服務(wù)的堡壘主機(jī)上，該堡壘主機(jī)就是一個(gè)代理。3．郵局協(xié)議（POP）的代理特點(diǎn)郵局協(xié)議（POP）對于代理系統(tǒng)來說是非常簡單的，因?yàn)樗捎脝蝹€(gè)連接。內(nèi)置的支持代理的POP客戶程序還很少，主要原因是P

18、OP多用于局域網(wǎng)，而很少用于因特網(wǎng)。,2024/3/21,2.代理服務(wù)（續(xù)）,4．文件傳輸FTP在開始使用一個(gè)FTP連接時(shí)，客戶程序首先為自己分配兩個(gè)大于1023的TCP端口，它使用第一個(gè)端口作為命令通道端口與服務(wù)器連接，然后發(fā)出端口命令，告訴服務(wù)器它的第二個(gè)作為數(shù)據(jù)通道的端口號，這樣服務(wù)器就能打開數(shù)據(jù)通道了。大多數(shù)FTP服務(wù)器（特別是那些用在因特網(wǎng)上的主要匿名FTP站點(diǎn)）和許多FTP客戶程序都支持一種允許客戶程序打開命令通道和數(shù)

19、據(jù)通道來連接到FTP服務(wù)器的方式，這種方式被稱為“反向方式”。在使用反向方式時(shí)，一個(gè)FTP客戶程序需要分配兩個(gè)TCP端口供其使用。它使用第一個(gè)TCP端口與FTP服務(wù)器連接，但客戶程序通過反向方式命令代替原來的端口命令來告訴服務(wù)器客戶程序的第二個(gè)TCP端口。,2024/3/21,2.代理服務(wù)（續(xù)）,這樣就能使服務(wù)器為本身的數(shù)據(jù)通道分配第二個(gè)TCP端口，并通知客戶程序所分配的那個(gè)端口號。這時(shí)，客戶程序就從它的數(shù)據(jù)通道的端口連接到服務(wù)器

20、剛才通知它的那個(gè)端口上。 5．遠(yuǎn)程登錄（Telnet）代理系統(tǒng)能夠很好地支持Telnet。 6．存儲轉(zhuǎn)發(fā)協(xié)議（NNTP）NNTP是一個(gè)存儲轉(zhuǎn)發(fā)的協(xié)議，有能力進(jìn)行自己的代理。它作為一個(gè)簡單的單個(gè)連接協(xié)議很容易實(shí)現(xiàn)代理。,2024/3/21,2.代理服務(wù)（續(xù)）,7．萬維網(wǎng)（WWW）各種HTTP客戶程序（如Netscape Navigator或因特網(wǎng)Explorer等）都支持代理的方案。 8．域名服務(wù)（DNS）

21、DNS具有這樣的結(jié)構(gòu)：可以使服務(wù)器充當(dāng)客戶程序的代理。利用DNS能夠轉(zhuǎn)發(fā)自身的特點(diǎn)，可以使一個(gè)DNS服務(wù)器成為另一個(gè)DNS服務(wù)器的代理。在真正的實(shí)現(xiàn)時(shí)，大多數(shù)情況可以修改DNS庫來使用修改的客戶程序代理。在不支持動態(tài)連接的機(jī)器上，使用DNS的修改客戶程序的代理需要重新編譯網(wǎng)絡(luò)中使用的每個(gè)程序。,2024/3/21,2.代理服務(wù)（續(xù)）,代理服務(wù)的優(yōu)缺點(diǎn)1．代理服務(wù)的優(yōu)點(diǎn)（1）代理服務(wù)允許用戶“直接”訪問因特網(wǎng)（2）代理服務(wù)

22、適合于做日志 2．代理服務(wù)的缺點(diǎn)（1）代理服務(wù)落后于非代理服務(wù)（2）每個(gè)代理服務(wù)要求不同的服務(wù)器（3）代理服務(wù)一般要求對客戶或程序進(jìn)行修改（4）代理服務(wù)對某些服務(wù)來說是不合適的（5）代理服務(wù)不能保護(hù)你不受協(xié)議本身缺點(diǎn)的限制,2024/3/21,3.狀態(tài)檢測,狀態(tài)檢測技術(shù)是防火墻近幾年才應(yīng)用的新技術(shù)。傳統(tǒng)的包過濾防火墻只是通過檢測IP包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，狀態(tài)檢測技術(shù)采用的是一種基于連接的狀

23、態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個(gè)連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，狀態(tài)檢測技術(shù)具有更好的靈活性和安全性。,2024/3/21,3.狀態(tài)檢測（續(xù)）,工作在TCP/IP各層，檢查由防火墻轉(zhuǎn)發(fā)的包，并創(chuàng)建相應(yīng)的結(jié)構(gòu)記錄連接的狀態(tài)。它的檢查項(xiàng)包括鏈路

24、層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層的各種信息，并根據(jù)規(guī)則表或狀態(tài)表來決定是否允許轉(zhuǎn)發(fā)包通過。,2024/3/21,3.狀態(tài)檢測（續(xù)）,通信信息：即所有7層協(xié)議的當(dāng)前信息。 防火墻的檢測模塊位于操作系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層之下，能在數(shù)據(jù)包到達(dá)網(wǎng)關(guān)操作系統(tǒng)之前對它們進(jìn)行分析。防火墻先在低協(xié)議層上檢查數(shù)據(jù)包是否滿足企業(yè)的安全策略，對于滿足的數(shù)據(jù)包，再從更高協(xié)議層上進(jìn)行分析。它驗(yàn)證數(shù)據(jù)的源地址、目的地址和端口號、協(xié)議類型、應(yīng)用信息等多層的標(biāo)志，因此

25、具有更全面的安全性。,2024/3/21,3.狀態(tài)檢測（續(xù)）,通信狀態(tài)：即以前的通信信息。 對于簡單的包過濾防火墻，如果要允許FTP通過，就必須作出讓步而打開許多端口，這樣就降低了安全性。狀態(tài)檢測防火墻在狀態(tài)表中保存以前的通信信息，記錄從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，例如FTP請求的服務(wù)器地址和端口、客戶端地址和為滿足此次FTP臨時(shí)打開的端口，然后，防火墻根據(jù)該表內(nèi)容對返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析判斷，這樣，只有響應(yīng)受保護(hù)

26、網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。這里，對于UDP或者RPC等無連接的協(xié)議，檢測模塊可創(chuàng)建虛會話信息用來進(jìn)行跟蹤。,2024/3/21,3.狀態(tài)檢測（續(xù)）,應(yīng)用狀態(tài)：即其他相關(guān)應(yīng)用的信息。 狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用，它比代理服務(wù)器支持的協(xié)議和應(yīng)用要多得多；并且，它能從應(yīng)用程序中收集狀態(tài)信息存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測策略。例如，已經(jīng)通過防火墻認(rèn)證的用戶可以通過防火墻訪問其他授權(quán)的服務(wù)。,2

27、024/3/21,3.狀態(tài)檢測（續(xù)）,操作信息：即在數(shù)據(jù)包中能執(zhí)行邏輯或數(shù)學(xué)運(yùn)算的信息。 狀態(tài)監(jiān)測技術(shù)，采用強(qiáng)大的面向?qū)ο蟮姆椒?，基于通信信息、通信狀態(tài)、應(yīng)用狀態(tài)等多方面因素，利用靈活的表達(dá)式形式，結(jié)合安全規(guī)則、應(yīng)用識別知識、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)，構(gòu)造更復(fù)雜的、更靈活的、滿足用戶特定安全要求的策略規(guī)則,2024/3/21,狀態(tài)檢測原理,2024/3/21,3.狀態(tài)檢測（續(xù)）,優(yōu)點(diǎn)安全強(qiáng)度高配置靈活缺點(diǎn)：速度慢管理復(fù)

28、雜,2024/3/21,三、防火墻的體系結(jié)構(gòu),防火墻的體系結(jié)構(gòu)一般有以下幾種:1）雙重宿主主機(jī)體系結(jié)構(gòu)。2）屏蔽主機(jī)體系結(jié)構(gòu)。3）屏蔽子網(wǎng)體系結(jié)構(gòu)。,2024/3/21,三、防火墻的體系結(jié)構(gòu),1、雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口?？沙洚?dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。 實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止

29、這種發(fā)送功能。因而，IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)（例如，因特網(wǎng)）并不是直接發(fā)送到其他網(wǎng)絡(luò)（例如，內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。,2024/3/21,2、屏蔽主機(jī)體系結(jié)構(gòu),屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。,堡壘主機(jī)是互聯(lián)網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的

30、橋梁,,數(shù)據(jù)包過濾也許堡壘主機(jī)開放可允許的連接到外部世界,三、防火墻的體系結(jié)構(gòu),2024/3/21,3、屏蔽子網(wǎng)體系結(jié)構(gòu),屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開。,三、防火墻的體系結(jié)構(gòu),2024/3/21,最簡單的形式為：兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。 一個(gè)位于周邊網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Inte

31、rnet）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。,3、屏蔽子網(wǎng)體系結(jié)構(gòu)(續(xù)),侵襲者必須通過兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，它將仍然必須通過內(nèi)部路由器。,三、防火墻的體系結(jié)構(gòu),2024/3/21,軟件防火墻和硬件防火墻以及芯片級防火墻。,1、按物理實(shí)體分類,,X86架構(gòu)（PC架構(gòu)工控機(jī)）,NP架構(gòu)（網(wǎng)絡(luò)處理器）,ASIC架構(gòu)（專用集成電路）,,,,至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)（非軍事區(qū)）,

32、,,四、防火墻的類型與特點(diǎn),2024/3/21,防火墻的工作方式主要分包過濾型和應(yīng)用代理型兩種。,2、按工作方式分類,1）包過濾型,包過濾（Packet filtering）型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。,,四、防火墻的類型與特點(diǎn),2024/3/21,2、按工作方式分類

33、（續(xù)）,2）應(yīng)用代理型,應(yīng)用代理型防火墻(Application Proxy) 是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。,,四、防火墻的類型與特點(diǎn),2024/3/21,3、按部署結(jié)構(gòu)分類,從防火墻結(jié)構(gòu)分為單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。,單一主機(jī)防火墻：是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。與一臺計(jì)

34、算機(jī)結(jié)構(gòu)差不多，價(jià)格昂貴。,路由器集成式防火墻：這種防火墻通常是較低級的包過濾型。許多中、高檔路由器中集成了防火墻功能，如CiscoIOS防火墻系列。這樣企業(yè)就不用再同時(shí)購買路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購買成本。,分布式防火墻：不只是位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺主機(jī)，對整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會安裝一個(gè)用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡。,四、防火墻的類型與

35、特點(diǎn),2024/3/21,4、按部署位置分類,按防火墻的應(yīng)用部署位置分為邊界防火墻、個(gè)人防火墻和混合式防火墻三大類。,5、按性能分類,按防火墻性能分為百兆級防火墻和千兆級防火墻兩類。目前還針對小企業(yè)用戶（網(wǎng)絡(luò)流量小、用戶數(shù)量較少）生產(chǎn)出了桌面型防火墻。,四、防火墻的類型與特點(diǎn),2024/3/21,防火墻的工作模式有路由模式、透明橋模式和混合模式三大類。,路由模式：防火墻可以充當(dāng)路由器，提供路由功能。,透明橋模式：防火墻可以方便的接入到網(wǎng)

36、絡(luò)，而且保持所有的網(wǎng)絡(luò)設(shè)備配置完全不變。,混合模式：防火墻同時(shí)工作在路由模式和橋模式。,五、防火墻的工作模式,2024/3/21,路由模式,防火墻缺省工作模式，防火墻可以充當(dāng)路由器，提供路由功能,FTP,,,www,DMZ區(qū),內(nèi)部網(wǎng)絡(luò),,,,連接DMZ的接口需要設(shè)置成公網(wǎng)地址或在出接口啟用destination nat,防火墻的各個(gè)接口處于不同的網(wǎng)段,Internet,2024/3/21,,橋模式,L3 Switch,Router,,,

37、,,防火墻可以方便的接入到網(wǎng)絡(luò)，而且保持所有的網(wǎng)絡(luò)設(shè)備配置完全不變,此時(shí)防火墻類似網(wǎng)橋的工作方式，降低網(wǎng)絡(luò)管理的復(fù)雜度,Internet,內(nèi)部網(wǎng)絡(luò),,2024/3/21,,混合模式,,,橋,防火墻同時(shí)工作在路由模式和橋模式,FTP,www,DMZ區(qū),內(nèi)部網(wǎng)絡(luò),Internet,路由,,NAT,,,2024/3/21,防火墻的網(wǎng)橋接口啟用NAT轉(zhuǎn)換,外部接口和DMZ接口組成透明方式,混合模式防火墻的應(yīng)用,2024/3/21,All-In-

38、One技術(shù)：大集成，需解決模塊安全,大多數(shù)防火墻的功能都比較全面，幾乎包括了所有的安全功能，如VPN、防病毒、IDS、安全審計(jì)等。性能不斷提升，國內(nèi)已有千兆線速防火墻；架構(gòu)已發(fā)生變化，從X86架構(gòu)，開始向ASIC、NP等網(wǎng)絡(luò)設(shè)備標(biāo)準(zhǔn)架構(gòu)蛻變。,功能性能不斷突破：需解決集成、核心技術(shù),下一代網(wǎng)絡(luò)的新需求：IPv6網(wǎng)絡(luò)需求,高速、安全、可用：高性能、抗毀、業(yè)務(wù)連續(xù),六、防火墻的發(fā)展趨勢,2024/3/21,單計(jì)算機(jī)保護(hù),利用防火墻軟件實(shí)現(xiàn)。

39、目前可選天網(wǎng)、瑞星、趨勢、諾頓等。此處以單機(jī)版軟件為例，介紹防火墻規(guī)則設(shè)置與使用。,2024/3/21,瑞星個(gè)人防火墻的設(shè)置與使用,2024/3/21,瑞星個(gè)人防火墻的設(shè)置與使用,2024/3/21,瑞星個(gè)人防火墻的設(shè)置與使用,2024/3/21,瑞星個(gè)人防火墻的設(shè)置與使用,2024/3/21,防火墻功能要求,管理界面良好，配置容易、監(jiān)控方便 病毒掃描，堵截非法URL和Java過濾進(jìn)行用戶驗(yàn)證，防止網(wǎng)絡(luò)攻擊具有多協(xié)議適應(yīng)性防止

40、基于協(xié)議的攻擊測試方便,2024/3/21,防火墻產(chǎn)品選擇,具有標(biāo)準(zhǔn)的防火墻特性實(shí)際的用戶安全需求（見規(guī)范）可信的系統(tǒng)集成商與操作系統(tǒng)的無縫連接必要的防火墻產(chǎn)品測試綜合安全手段與整體安全性能,2024/3/21,防火墻產(chǎn)品,CheckPoint Firewall-1 4.0AXENT RaptorCyberGuard FirewallSecure Computing SecureZoneCisco PIX Firew

41、all 520Netscreen Netscreen-100NetGuard Guardian 3.0,2024/3/21,小 結(jié),防火墻是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一道防御系統(tǒng)，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。防火墻在企業(yè)內(nèi)網(wǎng)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，從而實(shí)現(xiàn)內(nèi)網(wǎng)保護(hù)。 典型的防火墻具有三個(gè)基本特性：①內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；②只有符合安全策略

42、的數(shù)據(jù)流才能通過防火墻；③防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。 防火墻具有以下幾種功能：①限定內(nèi)部用戶訪問特殊站點(diǎn)；②防止未授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)；③允許內(nèi)部網(wǎng)絡(luò)中的用戶訪問外部網(wǎng)絡(luò)的服務(wù)和資源而不泄漏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和資源；④記錄通過防火墻的信息內(nèi)容和活動；⑤對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測和報(bào)警。 防火墻的體系結(jié)構(gòu)有以下幾種: ①雙重宿主主機(jī)體系結(jié)構(gòu)；②被屏蔽主機(jī)體系結(jié)構(gòu)；③被屏蔽子網(wǎng)體系結(jié)構(gòu)。 防火墻的類型有多種分類方法：技術(shù)上分“包

43、過濾型”和“應(yīng)用代理型”；結(jié)構(gòu)上分單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種；應(yīng)用部署位置分為邊界防火墻、個(gè)人防火墻和混合式防火墻；性能上分為百兆級防火墻和千兆級防火墻。 防火墻的發(fā)展趨勢：①功能性能不斷突破；②下一代網(wǎng)絡(luò)的新需求；③高速、安全、可用。,2024/3/21,課后思考：防火墻存在的問題,防火墻？防火墻解決了什么問題？防火墻沒有解決什么問題？防火墻的設(shè)置帶來了什么新的問題？防火墻是一個(gè)瓶頸，如何解決？