信息安全 第11章防火墻

本文格式為Word版，下載可任意編輯——信息安全第11章防火墻

第11章防火墻

主要內容防火墻的原理11.2防火墻的分類11.3防火墻技術11.4防火墻的體系結構11.5防火墻的局限性11.1

為什么需要防火墻Internet的開放性導致網絡安全要挾無處不在未授權資源訪問ARP攻擊泛濫拒絕服務攻擊各種協(xié)議漏洞攻擊Internet非法資源訪問……沒有防火墻的Internet千瘡百孔

11.1防火墻的原理Willam

Cheswick和stevenBeellovin:防火墻是位于兩個(或多個)網絡間，實施網間訪問控制的一組組件的集合，它滿足以下條件：內部和外部之間的所有網絡數據流必需經過防火

墻；有符合安全政策的數據流才能通過防火墻；防火墻自身能抗攻擊。

防火墻可以是在可信任網絡和不可信任網絡

之間的一個緩沖系統(tǒng)，它可以是一臺有訪問控制策略的路由器，或者一臺多個網絡接口的計算機、也可以是安裝在某臺特定機器上的軟件。它被配置成保護指定網絡，使其免受來自于非信任網絡區(qū)域的某些協(xié)議與服務的影響。內部網絡外部網絡

防火墻

防火墻的基本功能服務控制：確定哪些服務可以被訪問；方向控制：對于特定的服務，可以確定允許

哪個方向能夠通過防火墻；用戶控制：根據用戶來控制對服務的訪問；行為控制：控制一個特定的服務的行為。

防火墻在網絡中的位置

防火墻多應用于一個局域網的出口處(如圖(a)所示)或置于兩個網絡中間(如圖(b)所示)。

防火墻在網絡中的位置

安全域—為什么需要安全域？

傳統(tǒng)防火墻尋常都基于接口進行策略配置，網絡管理員需要為每一個接口配置安全策略。防火墻的端口朝高密度方向發(fā)展，基于接口的策略配置方式給網絡管理員帶來了極大的負擔，安全策略的維護工作量成倍增加，從而也增加了由于配置引入安全風險的概率。配置維護太繁雜了！教學樓#1教學樓#2教學樓#3服務器群辦公樓#1

辦公樓#2試驗樓#1試驗樓#2宿舍樓Internet

安全域—什么是安全域？將安全需求一致的接口劃分到不同的域，

實現策略的分層管理。Trust教學樓辦公樓試驗樓宿舍樓Internet

防火墻

Untrust

配置維護簡單多了！

DMZWeb服務器FTP服務器郵件服務器

打印服務器

信賴域和非信賴域2.信賴主機和非信賴主機3、DMZDMZ(Demilitarizedzone)稱為“隔離區(qū)〞或“非軍事化區(qū)〞,它是介于信賴域和非信賴域之間的一個安全區(qū)域。1.

安全域—域間策略DMZ

Trust區(qū)域的市場部門員工在上班時間可以訪問InternetUntrust區(qū)域在任何時候都不允許訪問DMZ區(qū)域的郵件服務器Trust區(qū)域的研發(fā)

部門員工在任何時候都可以訪問DMZ區(qū)域的Web服務器

Trust市場部門/16

WebServerMailServer

UntrustInternet研發(fā)部門/16SourceZoneTrustTrustUntrustTrustDestinationZoneUntrustUntrustDMZDMZSourceIP/Mask/16anyany/16

防火墻域間策略DestinationIP/MaskanyanyServiceanyanyMAILHTTP/HTTPS

TimeRange每周一到周五的8:30到18:00

Actionpermitdenydenypermit

anyanyany

使用防火墻后的網絡組成

防火墻的實施策略一切未被阻止的就是允許的(Yes規(guī)則)確定那些被認為是擔憂全的服務，阻止其訪問；

而其他服務則被認為是安全的，允許訪問。一切未被允許的就是阻止的(No規(guī)則)確定所有可以被提供的服務以及它們的安全性，

然后開放這些服務，并將所有其他未被列入的服務排除在外，阻止訪問。

11.2防火墻的分類根據防火墻形式分類根據實現原理分類根據防火墻結構分類依照防火墻應用部署分類

根據防火墻形式分類

軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計

算機操作系統(tǒng)的支持

硬件防火墻基于PC架構，運行一些經過裁剪和簡化的操作系統(tǒng)，

一般至少應具備三個端口

芯片級防火墻專有的ASIC芯片，速度更快，處理能力更強，性能更

高，專用操作系統(tǒng)，價格相對比較昂揚

根據實現原理分類包過濾(Packet

Filtering)型

工作在OSI網絡參考模型的網絡層和傳輸層，根據數據包

頭源地址、目的地址、端口號和協(xié)議類型等標志確定是否允許通過。應用代理(Application

Proxy)型

工作在OSI的最高層，即應用層。其特點是完全“阻隔〞

了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。

根據防火墻結構分類

單一主機防火墻最為傳統(tǒng)的防火墻，獨立于其它網絡設備，位于網絡邊界。一般都

集成了兩個以上的以太網卡，連接一個以上的內、外部網絡。

路由器集成式防火墻在大量中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系

列。但這種防火墻尋常是較低級的包過濾型。這樣企業(yè)就不用再同時購買路由器和防火墻

分布式防火墻由多個軟、硬件組成的系統(tǒng)。滲透于網絡的每一臺主機，對整個內

部網絡的主機實施保護。在網絡服務器中，尋常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡，一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統(tǒng)就可以完全保護內部網絡。

依照防火

墻應用部署分類

邊界防火墻位于內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，

保護邊界內部網絡。一般都是硬件類型

個人防火墻安裝于單臺主機中。應用于廣大的個人用戶，尋常為軟件防火墻，

價格最低廉，在功能上有很大的限制。

混合式防火墻是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內、外

部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

11.3防火墻技術數據包過濾

代理服務

數據包過濾技術什么是包過濾？包過濾是訪問控制技術的一種，對于需要轉發(fā)的數據包，首先獲取包頭信息(包括源地址、目的地址、源端口和目的端口等),然后與設定的策略進行比較，根據比較的結果對數據包進行相應的處理(允許通過或直