防火墻的利與弊課件

1、組長(zhǎng)：丁一平組員：夏萬(wàn)千，劉駿，邊曉旭，張浩然防火墻的利與弊 1.1防火墻的概念1.2網(wǎng)絡(luò)防火墻的優(yōu)點(diǎn)1.3網(wǎng)絡(luò)防火墻的缺點(diǎn)1.4包過濾防火墻的概念和優(yōu)缺點(diǎn)1.5狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻的概念和優(yōu)缺點(diǎn)1.6應(yīng)用程序防火墻的概念和優(yōu)缺點(diǎn)1.7NAT的概念和優(yōu)缺點(diǎn)1.8個(gè)人防火墻的概念和優(yōu)缺點(diǎn)1.1防火墻的概念 Internet的迅速發(fā)展提供了發(fā)布信息和檢索信息的場(chǎng)所，但也帶來了信息污染和信息破壞的危險(xiǎn), 人們?yōu)榱吮Ｗo(hù)其數(shù)據(jù)和資源的安全，部署了防火墻。防火墻本質(zhì)上是一種保護(hù)裝置，它保護(hù)數(shù)據(jù)、資源和用戶的聲譽(yù)。 防火墻原是設(shè)計(jì)用來防止火災(zāi)從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講，Internet

2、防火墻服務(wù)也有類似目的，它防止Internet（或外部網(wǎng)絡(luò)）上的危險(xiǎn)（病毒、資源盜用等）傳播到網(wǎng)絡(luò)內(nèi)部。Internet（或外部網(wǎng)絡(luò)）防火墻服務(wù)于多個(gè)目的： 1.1防火墻的概念 1、限制人們從一個(gè)特別的控制點(diǎn)進(jìn)入； 2、防止入侵者接近你的其它防御設(shè)施； 3、限定人們從一個(gè)特別的點(diǎn)離開； 4、有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。 防火墻常常被安裝在內(nèi)部網(wǎng)絡(luò)連接到因特網(wǎng)（或外部網(wǎng)絡(luò)）的節(jié)點(diǎn)上。 1.1防火墻的概念 3、防火墻限制暴露用戶點(diǎn) 防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個(gè)網(wǎng)段，這樣就能夠防止影響一個(gè)網(wǎng)段的信息通過整個(gè)網(wǎng)絡(luò)進(jìn)行傳播。 4、防火墻是一個(gè)安全策略的檢查站 所有進(jìn)出的信息都必須通過防火

3、墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。 1.2網(wǎng)絡(luò)防火墻的優(yōu)點(diǎn)1.3網(wǎng)絡(luò)防火墻的缺點(diǎn)1、不能防范惡意的知情者 防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等。 1.4包過濾防火墻概念第一代防火墻和最基本形式防火墻檢查每一個(gè)通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。這稱為包過濾防火墻。本質(zhì)上，包過濾防火墻是多址的，表

4、明它有兩個(gè)或兩個(gè)以上網(wǎng)絡(luò)適配器或接口。例如，作為防火墻的設(shè)備可能有兩塊網(wǎng)卡(NIC)，一塊連到內(nèi)部網(wǎng)絡(luò)，一塊連到公共的Internet。防火墻的任務(wù)，就是作為“通信警察”，指引包和截住那些有危害的包。包過濾防火墻檢查每一個(gè)傳入包，查看包中可用的基本信息(源地址和目的地址、端口號(hào)、協(xié)議等)。然后，將這些信息與設(shè)立的規(guī)則相比較。如果已經(jīng)設(shè)立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會(huì)被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會(huì)被放行。多個(gè)復(fù)雜規(guī)則的組合也是可行的。如果允許Web連接，但只針對(duì)特定的服務(wù)器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過。最后

5、，可以確定當(dāng)一個(gè)包到達(dá)時(shí)，如果對(duì)該包沒有規(guī)則被定義，接下來將會(huì)發(fā)生什么事情了。通常，為了安全起見，與傳入規(guī)則不匹配的包就被丟棄了。如果有理由讓該包通過，就要建立規(guī)則來處理它。1.4包過濾防火墻概念1.4包過濾防火墻的優(yōu)點(diǎn)防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。每個(gè)IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻，繞過是困難的。包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個(gè)特征。狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻，試圖跟蹤通過防火墻的

6、網(wǎng)絡(luò)連接和包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應(yīng)用一些技術(shù)來做到這點(diǎn)的。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關(guān)信息，是關(guān)于位于特定IP地址的應(yīng)用程序最近向發(fā)出包的源地址請(qǐng)求視頻信號(hào)的信息。如果傳入的包是要傳給發(fā)出請(qǐng)求的相同系統(tǒng)，防火墻進(jìn)行匹配，包就可以被允許通過。1.5狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻概念檢查IP包的每個(gè)字段的能力，并遵從基于包中信息的過濾規(guī)則。識(shí)別帶有欺騙性源IP地址包的能力。是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻，繞過是困難的?；趹?yīng)用程序信息驗(yàn)證一個(gè)包的狀態(tài)的能力， 例如基于一

7、個(gè)已經(jīng)建立的FTP連接，允許返回的FTP包通過。基于應(yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力，例如允許一個(gè)先前認(rèn)證過的連接繼續(xù)與被授予的服務(wù)通信。記錄有關(guān)通過的每個(gè)包的詳細(xì)信息的能力?；旧希阑饓τ脕泶_定包狀態(tài)的所有信息都可以被記錄，包括應(yīng)用程序?qū)Π恼?qǐng)求，連接的持續(xù)時(shí)間，內(nèi)部和外部系統(tǒng)所做的連接請(qǐng)求等。1.5狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻優(yōu)點(diǎn)應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。另外，如果不為特定的應(yīng)用程序安裝代理程序代

8、碼，這種服務(wù)是不會(huì)被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。1.6應(yīng)用程序代理防火墻的概念例如，一個(gè)用戶的Web瀏覽器可能在80端口，但也經(jīng)常可能是在1080端口，連接到了內(nèi)部網(wǎng)絡(luò)的HTTP代理防火墻。防火墻然后會(huì)接受這個(gè)連接請(qǐng)求，并把它轉(zhuǎn)到所請(qǐng)求的Web服務(wù)器。這種連接和轉(zhuǎn)移對(duì)該用戶來說是透明的，因?yàn)樗耆怯纱矸阑饓ψ詣?dòng)處理的。1.6應(yīng)用程序代理防火墻的概念指定對(duì)連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問，或者是允許或拒絕基于用戶所請(qǐng)求連接的IP地址的訪問。通過限制某些協(xié)議的傳出請(qǐng)求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。大多數(shù)代理防

9、火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。這些信息對(duì)追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的。1.6應(yīng)用程序代理防火墻的優(yōu)點(diǎn)必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。一些應(yīng)用程序可能根本不支持代理連接。1.6應(yīng)用程序代理防火墻的缺點(diǎn)討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址轉(zhuǎn)換到一個(gè)公共地址發(fā)到Internet上。NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個(gè)用戶分享單一的IP地址，并為Internet連接提供一些安全機(jī)制。當(dāng)內(nèi)部用戶與一個(gè)公共主機(jī)通信時(shí)，NAT追蹤是哪一個(gè)用戶作的請(qǐng)求，修改傳出

10、的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內(nèi)部計(jì)算機(jī)和Web站點(diǎn)之間來回流動(dòng)的通信就都是透明的了。當(dāng)從公共網(wǎng)絡(luò)傳來一個(gè)未經(jīng)請(qǐng)求的傳入連接時(shí)，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡(jiǎn)單的丟棄所有未經(jīng)請(qǐng)求的傳入連接，就像包過濾防火墻所做的那樣。1.7網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的概念所有內(nèi)部的IP地址對(duì)外面的人來說是隱蔽的。因?yàn)檫@個(gè)原因，網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對(duì)網(wǎng)絡(luò)內(nèi)的任何一臺(tái)特定的計(jì)算機(jī)發(fā)起攻擊。如果因?yàn)槟撤N原因公共IP地址資源比較短缺的話，NAT可以使整個(gè)內(nèi)部網(wǎng)絡(luò)共享一個(gè)IP地址。可以啟用基本的包過濾防火墻安全機(jī)制，

11、因?yàn)樗袀魅氲陌绻麤]有專門指定配置到NAT，那么就會(huì)被丟棄。內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)就不可能直接訪問外部網(wǎng)絡(luò)。1.7NAT的優(yōu)點(diǎn)現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個(gè)人防火墻軟件，它是應(yīng)用程序級(jí)的。個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計(jì)算機(jī)上運(yùn)行，使用與狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻相同的方式，保護(hù)一臺(tái)計(jì)算機(jī)免受攻擊。通常，這些防火墻是安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。一旦安裝上個(gè)人防火墻，就可以把它設(shè)置成“學(xué)習(xí)模式”，這樣的話，對(duì)遇到的每一種新的網(wǎng)絡(luò)通信，個(gè)人防火墻都會(huì)提示用戶一次，詢問如何處理那種通信。然后個(gè)人防火墻便記住響應(yīng)方式，并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。1.8個(gè)人防火墻的概念1.8個(gè)人防火墻的概念基本上，你可以將個(gè)人防火墻想象成在用戶計(jì)算機(jī)上建立了一個(gè)虛擬網(wǎng)絡(luò)接口。不再是計(jì)算機(jī)的操作系