第九章防火墻技術(shù)課件

第九章 防火墻技術(shù)第九章 防火墻技術(shù)防火墻技術(shù)概述防火墻技術(shù)防火墻設(shè)計實例第九章 防火墻技術(shù)本章學(xué)習(xí)目標(biāo)了解防火墻的定義、發(fā)展簡史、目的、功能、局限性及其發(fā)展動態(tài)和趨勢。掌握包過濾防火墻和和代理防火墻的實現(xiàn)原理、技術(shù)特點和實現(xiàn)方式；熟悉防火墻的常見體系結(jié)構(gòu)。熟悉防火墻的產(chǎn)品選購和設(shè)計策略。返回本章首頁第九章 防火墻技術(shù)防火墻技術(shù)概述防火墻的定義防火墻的發(fā)展簡史設(shè)置防火墻的目的和功能防火墻的局限性防火墻技術(shù)發(fā)展動態(tài)和趨勢返回本章首頁第九章 防火墻技術(shù)9.1.1

防火墻的定義防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實現(xiàn)網(wǎng)絡(luò)的安全保護，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻本身具有較強的抗攻擊能力，它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。圖9.1為防火墻示意圖。第九章 防火墻技術(shù)圖9.1防火墻示意圖返回本節(jié)第九章 防火墻技術(shù)9.1.2

防火墻的發(fā)展簡史第一代防火墻：采用了包過濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。第九章 防火墻技術(shù)圖9.2防火墻技術(shù)的簡單發(fā)展歷史返回本節(jié)第九章 防火墻技術(shù)設(shè)置防火墻的目的和功能防火墻是網(wǎng)絡(luò)安全的屏障防火墻可以強化網(wǎng)絡(luò)安全策略對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計防止內(nèi)部信息的外泄返回本節(jié)第九章 防火墻技術(shù)9.1.4

防火墻的局限性防火墻防外不防內(nèi)。防火墻難于管理和配置，易造成安全漏洞。很難為用戶在防火墻內(nèi)外提供一致的安全策略。防火墻只實現(xiàn)了粗粒度的訪問控制。返回本節(jié)第九章 防火墻技術(shù)防火墻技術(shù)發(fā)展動態(tài)和趨勢優(yōu)良的性能可擴展的結(jié)構(gòu)和功能簡化的安裝與管理主動過濾防病毒與防黑客返回本節(jié)第九章 防火墻技術(shù)9.2

防火墻技術(shù)防火墻的技術(shù)分類防火墻的主要技術(shù)及實現(xiàn)方式防火墻的常見體系結(jié)構(gòu)返回本章首頁第九章 防火墻技術(shù)防火墻的技術(shù)分類包過濾防火墻代理防火墻兩種防火墻技術(shù)的對比第九章 防火墻技術(shù)1．包過濾防火墻數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。包過濾的優(yōu)點：不用改動應(yīng)用程序、一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。第九章 防火墻技術(shù)（3）包過濾的缺點：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。第九章 防火墻技術(shù)圖9.3包過濾處理第九章 防火墻技術(shù)圖9.4靜態(tài)包過濾防火墻第九章 防火墻技術(shù)圖9.5動態(tài)包過濾防火墻第九章 防火墻技術(shù)2．代理防火墻（1）代理防火墻的原理：代理防火墻通過編程來弄清用戶應(yīng)用層的流

量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且，還可用來保持一個所有應(yīng)用程序使用的記

錄。記錄和控制所有進出流量的能力是應(yīng)用層網(wǎng)

關(guān)的主要優(yōu)點之一。代理防火墻的工作原理如圖

9.6所示。第九章 防火墻技術(shù)（2）應(yīng)用層網(wǎng)關(guān)型防火墻：主要保存Internet

上那些最常用和最近訪問過的內(nèi)容：在Web上，代理首先試圖在本地尋找數(shù)據(jù)，如果沒有，再到遠(yuǎn)程服務(wù)器上去查找。為用戶提供了更快的訪問速度，并且提高了網(wǎng)絡(luò)安全性。應(yīng)用層網(wǎng)關(guān)的工作原理如圖9.7所示。應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點就是安全，缺點就是速度相對比較慢。第九章 防火墻技術(shù)（3）電路層網(wǎng)關(guān)防火墻在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個通信的終點之間轉(zhuǎn)換包，如圖9.8所示。電路層網(wǎng)關(guān)防火墻的工作原理如圖

9.9所示電路層網(wǎng)關(guān)防火墻的特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。第九章 防火墻技術(shù)（4）代理技術(shù)的優(yōu)點1）代理易于配置。2）代理能生成各項記錄。代理能靈活、完全地控制進出流量、內(nèi)容。代理能過濾數(shù)據(jù)內(nèi)容。5）代理能為用戶提供透明的加密機制。6）代理可以方便地與其他安全手段集成。第九章 防火墻技術(shù)（5）代理技術(shù)的缺點1）代理速度較路由器慢。2）代理對用戶不透明。對于每項服務(wù)代理可能要求不同的服務(wù)器。代理服務(wù)不能保證免受所有協(xié)議弱點的限制。代理不能改進底層協(xié)議的安全性。第九章 防火墻技術(shù)圖9.6代理的工作方式第九章 防火墻技術(shù)圖9.7應(yīng)用層網(wǎng)關(guān)防火墻第九章 防火墻技術(shù)圖9.8電路層網(wǎng)關(guān)第九章 防火墻技術(shù)圖9.9電路層網(wǎng)關(guān)防火墻第九章 防火墻技術(shù)表9.1兩種防火墻技術(shù)3．兩種防火墻技術(shù)的對比返回本節(jié)第九章 防火墻技術(shù)防火墻的主要技術(shù)及實現(xiàn)方式雙端口或三端口的結(jié)構(gòu)透明的訪問方式靈活的代理系統(tǒng)多級的過濾技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）網(wǎng)絡(luò)狀態(tài)監(jiān)視器第九章 防火墻技術(shù)7．Internet網(wǎng)關(guān)技術(shù)

8．安全服務(wù)器網(wǎng)絡(luò)（SSN）用戶鑒別與加密用戶定制服務(wù)審計和告警應(yīng)用網(wǎng)關(guān)代理第九章 防火墻技術(shù)DomainName回路級代理服務(wù)器代管服務(wù)器IP通道（IP

Tunnels）16

．隔離域名服務(wù)器（

SplitSever）17．郵件轉(zhuǎn)發(fā)技術(shù)（Mail

Forwarding）返回本節(jié)第九章 防火墻技術(shù)防火墻的常見體系結(jié)構(gòu)屏蔽路由器(如圖9.10所示)雙穴主機網(wǎng)關(guān)(如圖9.11所示)屏蔽主機網(wǎng)關(guān)(如圖9.12所示)被屏蔽子網(wǎng)(如圖9.13所示)第九章 防火墻技術(shù)圖9.10屏蔽路由器示意圖第九章 防火墻技術(shù)圖9.11雙穴主機網(wǎng)關(guān)示意圖第九章 防火墻技術(shù)圖9.12屏蔽主機網(wǎng)關(guān)示意圖第九章 防火墻技術(shù)圖9.13被屏蔽子網(wǎng)防火墻示意圖返回本節(jié)第九章 防火墻技術(shù)防火墻設(shè)計實例防火墻產(chǎn)品選購策略典型防火墻產(chǎn)品介紹防火墻設(shè)計策略Windows

2000環(huán)境下防火墻及

NAT的實現(xiàn)返回本章首頁第九章 防火墻技術(shù)防火墻產(chǎn)品選購策略防火墻的安全性防火墻的高效性防火墻的適用性防火墻的可管理性完善及時的售后服務(wù)體系返回本節(jié)第九章 防火墻技術(shù)9.3.2

典型防火墻產(chǎn)品介紹1．3Com

Office

Connect

Firewall新增的網(wǎng)絡(luò)管理模塊使技術(shù)經(jīng)驗有限的用戶也能保障他們的商業(yè)信息的安全。OfficeConnectInternetFirewall25使用全靜態(tài)數(shù)據(jù)包檢驗技術(shù)來防止非法的網(wǎng)絡(luò)接入和防止來自Internet的“拒絕服務(wù)”攻擊，它還可以限制局域網(wǎng)用戶對Internet的不恰當(dāng)使用。第九章 防火墻技術(shù)Office

Connect

Internet

FirewallDMZ可支持多達100個局域網(wǎng)用戶，這使局域網(wǎng)上的公共服務(wù)器可以被Internet訪問，又不會使局域網(wǎng)遭受攻擊。3Com

公司所有的防火墻產(chǎn)品很容易通過Getting

Started

Wizard

進行安裝。它們使整個辦公室可以共享ISP提供的一個IP地址，因而節(jié)省開支。第九章 防火墻技術(shù)Cisco

PIX防火墻實時嵌入式操作系統(tǒng)。保護方案基于自適應(yīng)安全算法（ASA），可以確保最高的安全性。用于驗證和授權(quán)的“直通代理”技術(shù)。最多支持250

000個同時連接。URL過濾。第九章 防火墻技術(shù)（6）HP

Open

View集成。（

7

）

通過電子郵件和尋呼機提供報警和告警通知。通過專用鏈路加密卡提供VPN支持。符合委托技術(shù)評估計劃（TTAP），經(jīng)過了美國安全事務(wù)處（NSA）的認(rèn)證，同時通過中國公安部安全檢測中心的認(rèn)證（PIX520除外）。返回本節(jié)第九章 防火墻技術(shù)9.3.3

防火墻設(shè)計策略1．防火墻的系統(tǒng)環(huán)境取消危險的系統(tǒng)調(diào)用；限制命令的執(zhí)行權(quán)限；取消IP的轉(zhuǎn)發(fā)功能；檢查每個分組的接口；采用隨機連接序號；駐留分組過濾模塊；取消動態(tài)路

由功能；采用多個安全內(nèi)核等等。第九章 防火墻技術(shù)2．設(shè)置防火墻的要素高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級的網(wǎng)絡(luò)策略描述防火墻如何限制和過濾在高級策略中定義的服務(wù)。第九章 防火墻技術(shù)3．服務(wù)訪問策略允許通過增強認(rèn)證的用戶在必要的情況下從

Internet訪問某些內(nèi)部主機和服務(wù)；允許內(nèi)部用戶訪問指定的Internet主機和服務(wù)。第九章 防火墻技術(shù)4．防火墻設(shè)計策略允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除

非被明確允許。第一種的特點是安全但不好用，

第二種是好用但不安全，通常采用第二種類型的

設(shè)計策略。而多數(shù)防火墻都在兩種之間采取折衷。返回本節(jié)第九章 防火墻技術(shù)9.3.4 Windows

2000環(huán)境下防火墻及NAT的實現(xiàn)1．實現(xiàn)方法通過網(wǎng)絡(luò)地址轉(zhuǎn)換把內(nèi)部地址轉(zhuǎn)換成統(tǒng)一的外部地址，避免了使用代理服務(wù)所引起的賬號安全問題和代理服務(wù)端口被利用的危險。同時為了避免各種代理服務(wù)端口探測和其他各種常用服務(wù)端口的探測，可以啟用Microsoft

ProxyServer的動態(tài)包過濾功能和IP分段過濾，達到端口隱形的效果。第九章 防火墻技術(shù)2．案例環(huán)境假定有一臺Web服務(wù)器（WWW），地址為

0，其完整域名為：，對應(yīng)解析的IP地址為0，，在其上裝有兩塊網(wǎng)卡，命名為本地連接1和本地連接2，它們的IP地址分別為：和。第九章 防火墻技術(shù)3．MSWindows2000NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的實現(xiàn)路由和遠(yuǎn)程訪問服務(wù)網(wǎng)絡(luò)地址轉(zhuǎn)換的實現(xiàn):靜態(tài)路由、網(wǎng)絡(luò)地址轉(zhuǎn)換、地址和特殊端口、IP地址欺騙過濾。第九章 防火墻技術(shù)表9.2地址和特殊端口配置第九章 防火墻技術(shù)表9.3內(nèi)部地址欺騙過濾配置第九章 防火墻技術(shù)表9.4外部地址欺騙過濾配置第九章 防火墻技術(shù)4．MS

Proxy

Server動態(tài)包過濾和反向代理

Proxy

Server功能的配置界面如圖9.14所示。（

1

）

MS

Proxy

Server

動態(tài)過濾記錄文件的