信息安全原理与技术ch09-防火墙

2011-7-20Ch9-防火墙1信息安全原理与技术郭亚军宋建华李莉清华大学出版社2011-7-20Ch9-防火墙2第9章防火墙•主要知识点：--防火墙概述--防火墙技术--防火墙的体系结构2011-7-20Ch9-防火墙39.1防火墙概述•防火墙的基本功能对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，即对网络进行访问控制。2011-7-20Ch9-防火墙4•防火墙的来源“防火墙”一词源自于早期建筑。在古代，构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（FireWall）。如今在计算机网络中，沿用了古代这个名字来表示实现类似的网络安全功能。9.1.1防火墙的基本概念2011-7-20Ch9-防火墙5所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。图9.1防火墙示意图2011-7-20Ch9-防火墙7防火墙的两条基本规则•一切未被允许的就是禁止的。基于该规则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放，即只允许符合开放规则的信息进出。这种方法非常实用，可以造成一种十分安全的环境，因为所能使用的服务范围受到了严格的限制，只有特定的被选中的服务才被允许使用。这就使得用户使用的方便性受到了影响。•一切未被禁止的就是允许的。基于该规则，防火墙逐项屏蔽被禁止的服务，而转发所有其它信息流。这种方法可以提供一种更为灵活的应用环境，可为用户提供更多的服务。但却很难提供可靠的安全防护，特别是当网络服务日益增多或受保护的网络范围增大时。2011-7-20Ch9-防火墙8典型的防火墙具有的基本特性•内部网络和外部网络之间的所有网络数据流都必须经过防火墙。•只有符合安全策略的数据流才能通过防火墙。•防火墙自身应具有非常强的抗攻击免疫力。2011-7-20Ch9-防火墙99.1.2防火墙的作用及局限性•防火墙的作用–集中的安全管理–安全警报–重新部署网络地址转换（NAT)–审计和记录网络的访问及使用情况–向外发布信息2011-7-20Ch9-防火墙10•防火墙的局限性–防火墙不能防范不经由防火墙的攻击和威胁–不能防御已经授权的访问，以及存在于网络内部系统间的攻击，不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁–防火墙不能防止感染了病毒的软件或文件的传输–防火墙不能防止数据驱动式攻击–不能修复脆弱的管理措施和存在问题的安全策略2011-7-20Ch9-防火墙119.1.3防火墙的分类•根据物理特性分类–软件防火墙–硬件防火墙•从结构上分类–单一主机防火墙–路由集成式防火墙–分布式防火墙2011-7-20Ch9-防火墙12•按工作位置分类–边界防火墙–个人防火墙–混合防火墙•按防火墙性能分类–百兆级防火墙–千兆级防火墙•从实现技术上分类–数据包过滤技术–代理服务2011-7-20Ch9-防火墙139.2防火墙技术•数据包过滤技术–静态包过滤–动态包过滤•代理服务–应用级网关–电路级网关2011-7-20Ch9-防火墙149.2.1数据包过滤Internet包过滤路由器工作站服务器内部网络工作站工作站2011-7-20Ch9-防火墙159.2.2应用级网关（代理服务器）•应用级网关（代理服务器）应用级网关提供两个网络间传输的高水平的控制，即能进行特定服务内容的监控和提供基于网络安全策略的过滤。服务器代理客户代理客户代理服务器代理应用级网关服务器客户机客户机服务器安全网络不安全网络2011-7-20Ch9-防火墙16例：FTP代理服务器FTP代理FTP客户FTP服务器FTP代理规则安全数据库TCP/UDPIP/ICMPInterfacesIP过滤规则端口2021不安全网络安全网络2011-7-20Ch9-防火墙179.2.3电路级网关•电路级网关是一个通用代理服务器，工作在TCP/IP协议的TCP层，仅仅提供TCP连接的转发而不提供任何其它的报文处理和过滤。客户服务器TCP层IP层Interfaces不安全网络安全网络2011-7-20Ch9-防火墙189.3防火墙的体系结构•双宿主机防火墙结构•屏蔽主机防火墙结构•屏蔽子网防火墙结构2011-7-20Ch9-防火墙199.3.1双宿主机防火墙Internet堡垒主机工作站服务器内部网络工作站工作站2011-7-20Ch9-防火墙209.3.2屏蔽主机防火墙Internet路由器堡垒主机工作站服务器内部网络工作站工作站2011-7-20Ch9-防火墙219.3.3屏蔽子网防火墙Internet内部网络防火墙外部路由器堡垒主机内部路由器FTP服务器．．33ComOfficeConnectFirewallComOfficeConnectFirewall新增的网络管理模块使技术经验有限的新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。用户也能保障他们的商业信息的安全。OfficeConnectInternetFirewall25OfficeConnectInternetFirewall25使用使用全静态数据包检验技术来防止非法的网络接全静态数据包检验技术来防止非法的网络接入和防止来自入和防止来自InternetInternet的的““拒绝服务拒绝服务””攻击，它攻击，它还可以限制局域网用户对还可以限制局域网用户对InternetInternet的不恰当的不恰当使用。使用。2011-7-20Ch9-防火墙232．CiscoPIX防火墙（1）实时嵌入式操作系统。（2）保护方案基于自适应安全算法（ASA），可以确保最高的安全性。（3）用于验证和授权的“直通代理”技术。（4）最多支持250000个同时连接。（5）URL过滤。（6）HPOpenView集成。（7）通过电子邮件和寻呼机提供报警和告警通知。（8）通过专用链路加密卡提供VPN支持。（9）符合委托技术评估计划（TTAP），经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证（PIX520除外）。