第5章防火墙技术.

《网络安全》教案（第5章）教学内容第５章防火墙技术教材章节7教学周次教学课时27授课对象网络工程专业教学环境多媒体教室教学目标理解防火墙的基本概念和作用；了解防火墙实现技术的原理；掌握防火墙过滤规则的设置方法。教学内容1.防火墙基本知识（包括：概念、作用、局限性等）。2.防火墙实现技术（包括：包过滤、代理、状态监测等）。3.防火墙结构（包括：包过滤、屏蔽主机、障蔽子网等）。4.常用防火墙的配置管理和应用:精讲三种典型防火墙的高级管理,部分内容是扩展内容,但其决定了本课程的深度的实用性,应详细重点讲解,并保证实验质量.课时安排可根据总课时设置进行调整.ISA防火墙PIX防火墙ASA防火墙教学重点1.防火墙的基本概念、实现技术；2.如何利用软件设置防火墙的规则集；3.常用防火墙的配置管理和应用教学难点防火墙的实现技术；设置防火墙的过滤规则。教学过程本章分9次讲述，共27学时，另实验4学时.讲授思路和过程如下：1.通过问题分析，引出防火墙；2.介绍防火墙的概念，防火墙的主要作用。3.分析问题，说明防火墙的局限性。4.介绍包过滤技术的原理，举例说明其设置方法。分析包过滤技术的局限性，引出代理技术。5.介绍代理技术的原理，分析局限性，引出状态监测技术。6.介绍状态监测技术原理。7.介绍防火墙的基本结构。8.常用防火墙的配置管理和应用:作业与要求作业内容：1.本章思考题第2、3、5、7、9题。2.按实验11要求进行实验准备。要求：1.记录实验过程及结果。2.提交实验报告。备本提交文档内容与次序与实际讲课内容与注次序有不一致的地方。第5章防火墙技术随着Internet的迅速发展，越来越多的企事业单位或个人加入到其中，使Internet本身成为了空前庞大以至无法确切统计的网络系统。当一个机构将其内部网络与Internet连接之后，所关心的一个问题就是安全，特别是内部网与互联网的有效隔离问题。解决这个问题的最有效的方法之一就是防火墙。防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。安全网络为企业内部网络，不安全网络为因特网。从刚才的图中可以看到，防火墙不只用于因特网，也可用于Intranet各部门网络之间(内部防火墙。例：财务部与市场部之间。可以这样说，防火墙是目前最重要的网络安全措施!是网络的安全门门户!我们这章重点为大家介绍防火墙技术。5.1防火墙的基本知识5.1.1防火墙的概念防火墙原意是指在建筑物中用来隔离不同的房间，防止火灾蔓延的隔断墙。现在人们引用这个概念，是为了保护计算机网络中敏感数据不被窃取和篡改。所以在这里我们给出的防火墙概念是：防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。也就是说防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，由内到外和由外到内的所有访问都必须通过它；能根据企业有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为，只有本地安全策略所定义的合法访问才被允许通过它。防火墙可以监控进出网络的数据，仅让安全、核准后的数据进入，抵制对局域网构成威胁的数据。它的主要功能是：过滤进出网络的数据、管理进出网络的访问行为、封堵某些禁止的业务、记录进出网络的信息和活动、以及对网络攻击进行检测和告警。5.1.2防火墙的作用事实上，防火墙是不同网络之间信息的唯一出入口。从作用上看，防火墙可以是分离器、限制器，也可以是分析器，用来监控内部网络和外部网络等之间的任何活动。如果没有防火墙，内部网络中的每一台主机系统都会暴露在来自外部的网络攻击之下，网络的安全就无从谈起。因此，应用防火墙非常重要。5.1.3防火墙的局限性防火墙是网络安全防护的手段之一，它在一定程度上保护了网络的安全，但同时也必须看到，防火墙不是万能的，也有它的缺陷和局限性，而且有些缺陷目前根本是无法解决的。1.限制了有用的网络服务2.不能防止传送已感染病毒的软件或文件3.不能防备新的网络安全问题5.2防火墙基本实现技术防火墙的实现技术从层次上大体可以分为三种：包过滤技术、代理技术和状态监视技术。5.2.2代理技术代理技术是防火墙中使用较多的技术，也是一种安全性能较高的技术。它与包过滤技术完全不同，包过滤技术是在网络层拦截所有的数据包，而代理技术则是针对每一个特定应用都有一个程序，它用来提供应用层服务的控制。代理防火墙的概念源于代理服务器。所谓代理服务器是指代理内部网络用户与外部网络服务器进行信息交换的程序。它可以将内部用户的请示确认后送达外部服务器，同时将外部服务器的响应再回送给用户。由于代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离的作用，因此又把它叫做代理防火墙。由于代理防火墙作用于应用层，因此代理防火墙又被称为应用代理或应用层网关型防火墙。52.3状态监视技术这是第三代网络安全技术，它能在网络层实现所需要的防火墙能力。1.状态监视技术工作原理2.状态监视器防火墙的优点5.3防火墙的体系结构防火墙一般是按照4种模型构建：筛选路由器（包过滤防火墙）、单宿主堡垒主机（屏蔽主机防火墙）、双宿主堡垒主机和屏蔽子网等。5.3.1包过滤防火墙（筛选路由器）5.3.2屏蔽主机体系结构这种结构包括两种：单宿主堡垒主机和双宿主堡垒主机。5.3.3屏蔽子网防火墙最后这种防火墙是将两个路由器和一个堡垒主机组成在一起形成了一个所谓的“非军事区”（DMZ）的子网。这种方法在内部网络和外部网络之间建立了一个被隔离的子网。用两台路由器将这个子网分别与内部网络和外部网络分开。5.4防火墙的设置与选购5.4.1设置防火墙需要考虑的因素一般来说，设置一个防火墙需要考虑以下几个主要因素：1.网络策略2.服务访问策略3.设计策略4.强认证机制5.基本实现类型5.4.2防火墙的选购策略防火墙作为网络安可维护性基础和核心控制设备，它贯穿于整个网络通信主干线，对通过受控网络的任何通信行为进行控制、审计、报警、反应等安全处理，同时防火墙还承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，同时还要面对各种安全威胁，应注意以下的一些策略，安全、稳定和可靠的防火墙产品，是极其重要的。在防火墙的选购上，应注意以下的一些策略：1.防火墙自身的安全性2.防火墙自身的稳定性3.防火墙的性能4.防火墙的可靠性5.防火墙的灵活性6.防火墙配置的方便性7.防火墙管理的简便性8.防火墙抵抗拒绝服务攻击的能力9.防火墙对用户身份的过滤能力10.防火墙的可扩展性、可升级性5.5常用防火墙的配置管理和应用:ISA防火墙PIX防火墙ASA防火墙详见专用技术资料.