防火墙与网络安全

防火墙与网络安全主要内容：●防火墙概念●防火墙功能●防火墙分类●防火墙设计●防火墙产品介绍§1.1防火墙概念网络防火墙是指隔离在内网与外网之间的一道防御系统，防火墙可以监控进出网络的通信信息，仅让安全、核准了的信息进入，拒绝抵制不安全的数据。§1.1防火墙概念防火墙的工作姿态：●拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞所有的信息，而每一种所期望的服务或应用都是实现在case-by-case的基础上。●允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发所有的信息，任何可能存在危害的服务都应在case-by-case的基础上关掉。§1.2防火墙功能主要功能：●控制进出网络的信息包，作为中心“扼制点”，集中管理网络安全；●支持网络使用与流量日志与审计，管理和监控网络的访问；●实施NAT，缓解地址空间短缺的问题，同时隐藏内部网络结构的细节；●部署服务器，同时向内网与外网客户发布信息；主要限制：●无法防范通过防火墙以外的其它途径的攻击；●不能防止传送已感染病毒的软件或文件；●无法防范数据驱动型的攻击。●不能防止来自内部变节者和不经心的用户带来的威胁；安全策略：必须建立了全方位的防御体系，规定网络访问、服务访问、本地和远地的用户认证、磁盘和数据加密、病毒防护措施，以及雇员培训等。§1.3防火墙分类按实现方式分●软件防火墙实现：在通用的计算机系统上安装防火墙软件，通过防火墙软件设置安全策略。特点：软件防火墙成本相对较低，功能丰富灵活，可以工作在网络层和应用层；软件防火墙采用软件实现，性能受到影响；软件防火墙建立在通用的计算机及操作系统之上，本身存在安全性弱点；●硬件防火墙实现：采用专用的硬件和软件合成的防火墙，通过防火墙提供的配置命令设置安全策略。特点：硬件防火墙的硬件、软件都是专门针对防火墙功能而设计的，与软件防火墙相比具有高安全性、高性能等优点，但灵活性不如软件防火墙。§1.3防火墙分类按实现原理分●包过滤防火墙原理：在网络层和传输层对数据包实施有选择的通过，依据预先设定好的过滤规则ACL，检查经过的每个数据包，根据数据包的源IP地址/目标IP地址/协议/端口确定是否允许通过。实现：路由器一般都具备包过滤功能。●应用级防火墙原理：应用级防火墙采用代理服务的方式，防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现，这样便隔离了防火墙内外计算机系统的任何直接链接，然后由代理按照制定的规则对数据包进行过滤处理；实现：应用级防火墙一般采用在通用计算机系统上安装软件防火墙实现，即代理服务器。§2.1防火墙设计——屏蔽路由器实现：采用路由器配置包过滤防火墙，设置ACL、NAT等包过滤防火墙的基本功能。特点：●支持网络层的安全策略：过滤特定网络服务的数据包，防御源IP地址欺骗式攻击（伪装内网IP）、源路由攻击（旁路）等；不支持应用层次的安全策略。●单纯的包过滤防火墙的安全机制是比较脆弱，无法抵御来自数据驱动式攻击的潜在危险，且对黑客来说是比较容易攻击的。§2.2防火墙设计——双穴主机网关实现：采用一台装有两块网卡的主机（堡垒主机）做防火墙，两块网卡分别与内网和外部网相连，堡垒主机上运行防火墙软件提供代理服务，阻断了内外网数据的直接交换，由堡垒主机根据规则转发，属于应用级防火墙，即代理服务器。特点：●与屏蔽路由器（包过滤）相比，应用级防火墙工作在应用层，能够对服务进行全面的控制，支持应用层安全策略，如限制服务的命令集，支持应用层次上的过滤，维护系统日志等。●一旦黑客侵入堡垒主机，使其只具有路由功能，任何网上用户均可以随便访问内部网。§2.3防火墙设计——屏蔽主机网关实现：将堡垒主机与屏蔽路由器组合，堡垒主机配置在内部网络上，而包过滤路由器放置在内网和Internet之间。路由器上设置包过滤规则，使得堡垒主机成为从外网唯一可直接到达的主机，阻塞去往内部系统上其它主机的信息，同时只接受来自堡垒主机的内部数据包，强制内部用户使用代理服务；屏蔽主机网关中的堡垒主机负责为内网与外网的数据交换提供代理服务；特点：●确保内部网不受未被授权的外部用户的攻击，同样内部网的客户机，只能受控制地通过屏蔽主机和路由器访问Internet；●屏蔽主机网关中堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。§2.4防火墙设计——屏蔽子网网关实现：采用两个包过滤路由器和一个堡垒主机构成，用两个包过滤路由器将一子网分别与内网和外网分开，在内网和外网之间建立一个被隔离的子网DMZ。DMZ主要放置堡垒主机与网络服务器，堡垒主机为内网和外网的互访提供代理服务，网络服务器同时为内网与外网提供、FTP、Mail等网络服务。内网和外网均可访问DMZ，但禁止穿过被屏蔽子网通信。对于进来的数据包：外面路由器管理Internet到DMZ的访问，只允许外部系统访问堡垒主机与信息服务器；里面路由器管理DMZ到内部网络的访问，只接受源于堡垒主机的数据包；对于出去的数据包：里面路由器管理内网到DMZ的访问，它允许内部系统只访问堡垒主机与信息服务器；外面路由器管理DMZ到Internet的访问，只接受来自堡垒主机的去往Internet的数据包；特点：这种结构的防火墙是最安全的防火墙系统，具有很强的抗攻击能力，但成本高。§3.1防火墙产品——Netscreen-100§3.2防火墙产品——应用案例