1、第九章防火墙技术第九章防火墙技术9.1防火墙技术概述防火墙技术概述9.2防火墙技术防火墙技术9.3防火墙设计实例防火墙设计实例本章学习目标本章学习目标(1)了解防火墙的定义、发展简史、目的、功)了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。能、局限性及其发展动态和趋势。(2)掌握包过滤防火墙和和代理防火墙的实现)掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式;熟悉防火墙的常见原理、技术特点和实现方式;熟悉防火墙的常见体系结构。体系结构。(3)熟悉防火墙的产品选购和设计策略。)熟悉防火墙的产品选购和设计策略。返回本章首页9.1防火墙技术概述防火墙技术概述9.1.
2、1防火墙的定义防火墙的定义9.1.2防火墙的发展简史防火墙的发展简史9.1.3设置防火墙的目的和功能设置防火墙的目的和功能9.1.4防火墙的局限性防火墙的局限性9.1.5防火墙技术发展动态和趋势防火墙技术发展动态和趋势返回本章首页9.1.1防火墙的定义防火墙的定义 防火墙是设置在被保护网络和外部网络之防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、具有较强的抗攻击能力,它是提供信息安全服务、实现网
3、络和信息安全的基础设施。图实现网络和信息安全的基础设施。图9.1为防火为防火墙示意图。墙示意图。图图9.1防火墙示意图防火墙示意图 返回本节9.1.2防火墙的发展简史防火墙的发展简史第一代防火墙:采用了包过滤(第一代防火墙:采用了包过滤(Packet Filter)技术。技术。第二、三代防火墙:第二、三代防火墙:1989年,推出了电路层防年,推出了电路层防火墙,和应用层防火墙的初步结构。火墙,和应用层防火墙的初步结构。第四代防火墙:第四代防火墙:1992年,开发出了基于动态包年,开发出了基于动态包过滤技术的第四代防火墙。过滤技术的第四代防火墙。第五代防火墙:第五代防火墙:1998年,年,NAI
4、公司推出了一种公司推出了一种自适应代理技术,可以称之为第五代防火墙。自适应代理技术,可以称之为第五代防火墙。图图9.2防火墙技术的简单发展历史防火墙技术的简单发展历史 返回本节9.1.3设置防火墙的目的和功能设置防火墙的目的和功能(1)防火墙是网络安全的屏障)防火墙是网络安全的屏障(2)防火墙可以强化网络安全策略)防火墙可以强化网络安全策略(3)对网络存取和访问进行监控审计)对网络存取和访问进行监控审计(4)防止内部信息的外泄)防止内部信息的外泄返回本节9.1.4防火墙的局限性防火墙的局限性(1)防火墙防外不防内。)防火墙防外不防内。(2)防火墙难于管理和配置,易造成安全漏洞。)防火墙难于管理
5、和配置,易造成安全漏洞。(3)很难为用户在防火墙内外提供一致的安全)很难为用户在防火墙内外提供一致的安全策略。策略。(4)防火墙只实现了粗粒度的访问控制。)防火墙只实现了粗粒度的访问控制。返回本节9.1.5防火墙技术发展动态和趋势防火墙技术发展动态和趋势(1)优良的性能)优良的性能(2)可扩展的结构和功能)可扩展的结构和功能(3)简化的安装与管理)简化的安装与管理(4)主动过滤)主动过滤(5)防病毒与防黑客)防病毒与防黑客返回本节9.2防火墙技术防火墙技术9.2.1防火墙的技术分类防火墙的技术分类9.2.2防火墙的主要技术及实现方式防火墙的主要技术及实现方式9.2.3防火墙的常见体系结构防火墙
6、的常见体系结构返回本章首页9.2.1防火墙的技术分类防火墙的技术分类1包过滤防火墙包过滤防火墙2代理防火墙代理防火墙3两种防火墙技术的对比两种防火墙技术的对比1包过滤防火墙包过滤防火墙(1)数据包过滤技术的发展:静态包过滤、动)数据包过滤技术的发展:静态包过滤、动态包过滤。态包过滤。(2)包过滤的优点:不用改动应用程序、一个)包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。用户透明、过滤路由器速度快、效率高。(3)包过滤的缺点:不能彻底防止地址欺骗;)包过滤的缺点:不能彻底防止地址欺骗;
7、一些应用协议不适合于数据包过滤;一些应用协一些应用协议不适合于数据包过滤;一些应用协议不适合于数据包过滤;正常的数据包过滤路由议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;安全性较差器无法执行某些安全策略;安全性较差;数据数据包工具存在很多局限性。包工具存在很多局限性。图9.3包过滤处理图9.4静态包过滤防火墙图9.5动态包过滤防火墙(1)代理防火墙的原理:)代理防火墙的原理:代理防火墙通过编程来弄清用户应用层的流代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使
8、用的记而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图关的主要优点之一。代理防火墙的工作原理如图9.6所示。所示。2代理防火墙代理防火墙(2)应用层网关型防火墙:)应用层网关型防火墙:主要保存主要保存Internet上那些最常用和最近访问上那些最常用和最近访问过的内容:在过的内容:在Web上,代理首先试图在本地寻上,代理首先试图在本地寻找数据,如果没有,再到远程服务器上去查找。找数据,如果没有,再到远程服务器上去查找。为用户提供了更快的访问速度,并且提高了网络为用户提供了更快
9、的访问速度,并且提高了网络安全性。应用层网关的工作原理如图安全性。应用层网关的工作原理如图9.7所示。所示。应用层网关防火墙最突出的优点就是安全,缺点应用层网关防火墙最突出的优点就是安全,缺点就是速度相对比较慢。就是速度相对比较慢。(3)电路层网关防火墙)电路层网关防火墙在电路层网关中,包被提交用户应用层处理。电在电路层网关中,包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包,如路层网关用来在两个通信的终点之间转换包,如图图9.8所示。电路层网关防火墙的工作原理如图所示。电路层网关防火墙的工作原理如图9.9所示电路层网关防火墙的特点是将所有跨越所示电路层网关防火墙的特点是将所有
10、跨越防火墙的网络通信链路分为两段。防火墙的网络通信链路分为两段。(4)代理技术的优点代理技术的优点1)代理易于配置。代理易于配置。2)代理能生成各项记录。代理能生成各项记录。3)代理能灵活、完全地控制进出流量、内容。)代理能灵活、完全地控制进出流量、内容。4)代理能过滤数据内容。代理能过滤数据内容。5)代理能为用户提)代理能为用户提供透明的加密机制。供透明的加密机制。6)代理可以方便地与其他)代理可以方便地与其他安全手段集成。安全手段集成。(5)代理技术的缺点)代理技术的缺点1)代理速度较路由器慢。)代理速度较路由器慢。2)代理对用户不透代理对用户不透明。明。3)对于每项服务代理可能要求不同的
11、服务)对于每项服务代理可能要求不同的服务器。器。4)代理服务不能保证免受所有协议弱点的)代理服务不能保证免受所有协议弱点的限制。限制。5)代理不能改进底层协议的安全性。)代理不能改进底层协议的安全性。直实服务器外部 响应转发请求Internet代理客户应用层代理服务代理服务器应用协议分析请求转发响应Intranet真实的客户端图9.6代理的工作方式图9.7应用层网关防火墙图9.8电路层网关图9.9电路层网关防火墙表表9.1两种防火墙技术两种防火墙技术 3两种防火墙技术的对比两种防火墙技术的对比返回本节9.2.2防火墙的主要技术及实现方式防火墙的主要技术及实现方式1双端口或三端口的结构双端口或三
12、端口的结构2透明的访问方式透明的访问方式3灵活的代理系统灵活的代理系统4多级的过滤技术多级的过滤技术5网络地址转换技术(网络地址转换技术(NAT)6网络状态监视器网络状态监视器7Internet网关技术网关技术8安全服务器网络(安全服务器网络(SSN)9用户鉴别与加密用户鉴别与加密10用户定制服务用户定制服务11审计和告警审计和告警12应用网关代理应用网关代理13回路级代理服务器回路级代理服务器14代管服务器代管服务器15IP通道(通道(IP Tunnels)16隔离域名服务器(隔离域名服务器(Split Domain Name Sever)17邮件转发技术(邮件转发技术(Mail Forwa
13、rding)返回本节9.2.3防火墙的常见体系结构防火墙的常见体系结构 1屏蔽路由器屏蔽路由器(如图9.10所示)2双穴主机网关双穴主机网关(如图9.11所示)3屏蔽主机网关屏蔽主机网关(如图9.12所示)4被屏蔽子网被屏蔽子网(如图9.13所示)图9.10屏蔽路由器示意图图9.11双穴主机网关示意图图9.12屏蔽主机网关示意图图图9.13被屏蔽子网防火墙示意图被屏蔽子网防火墙示意图返回本节9.3防火墙设计实例防火墙设计实例9.3.1防火墙产品选购策略防火墙产品选购策略9.3.2典型防火墙产品介绍典型防火墙产品介绍9.3.3防火墙设计策略防火墙设计策略9.3.4Windows 2000环境下防
14、火墙及环境下防火墙及NAT的实现的实现返回本章首页9.3.1防火墙产品选购策略防火墙产品选购策略1防火墙的安全性防火墙的安全性2防火墙的高效性防火墙的高效性3防火墙的适用性防火墙的适用性4防火墙的可管理性防火墙的可管理性5完善及时的售后服务体系完善及时的售后服务体系返回本节9.3.2典型防火墙产品介绍典型防火墙产品介绍13Com Office Connect Firewall 新增的网络管理模块使技术经验有限的用新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。户也能保障他们的商业信息的安全。Office Connect Internet Firewall 25使使用全静态数
15、据包检验技术来防止非法的网络接入用全静态数据包检验技术来防止非法的网络接入和防止来自和防止来自Internet的的“拒绝服务拒绝服务”攻击,它还攻击,它还可以限制局域网用户对可以限制局域网用户对Internet的不恰当使用。的不恰当使用。Office Connect Internet Firewall DMZ可支持多达可支持多达100个局域网用户,这使局域网个局域网用户,这使局域网上的公共服务器可以被上的公共服务器可以被Internet访问,又不会使访问,又不会使局域网遭受攻击。局域网遭受攻击。3Com公司所有的防火墙产品很容易通过公司所有的防火墙产品很容易通过 Getting Started
16、 Wizard 进行安装。它们使整进行安装。它们使整个办公室可以共享个办公室可以共享ISP提供的一个提供的一个IP地址,因而地址,因而节省开支。节省开支。2Cisco PIX防火墙防火墙 (1)实时嵌入式操作系统。实时嵌入式操作系统。(2)保护方案基于自适应安全算法(保护方案基于自适应安全算法(ASA),),可以确保最高的安全性。可以确保最高的安全性。(3)用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。(4)最多支持最多支持250 000个同时连接。个同时连接。(5)URL过滤。过滤。(6)HP Open View集成。集成。(7)通过电子邮件和寻呼机提供报警和告警通通过电子
17、邮件和寻呼机提供报警和告警通知。知。(8)通过专用链路加密卡提供通过专用链路加密卡提供VPN支持。支持。(9)符合委托技术评估计划(符合委托技术评估计划(TTAP),),经过经过了美国安全事务处(了美国安全事务处(NSA)的认证,同时通过中的认证,同时通过中国公安部安全检测中心的认证(国公安部安全检测中心的认证(PIX520除外)。除外)。返回本节9.3.3防火墙设计策略防火墙设计策略1防火墙的系统环境防火墙的系统环境 取消危险的系统调用;限制命令的执行权限;取消危险的系统调用;限制命令的执行权限;取消取消IP的转发功能;检查每个分组的接口;采用的转发功能;检查每个分组的接口;采用随机连接序号
18、;驻留分组过滤模块;取消动态路随机连接序号;驻留分组过滤模块;取消动态路由功能;采用多个安全内核等等。由功能;采用多个安全内核等等。2设置防火墙的要素设置防火墙的要素高级的网络策略定义允许和禁止的服务以及如何高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述防火墙如何限制使用服务,低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。和过滤在高级策略中定义的服务。3服务访问策略服务访问策略允许通过增强认证的用户在必要的情况下从允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用访问某些内部主机和服务;允许内部用户访问指定的户访问指
19、定的Internet主机和服务。主机和服务。4防火墙设计策略防火墙设计策略允许任何服务除非被明确禁止;禁止任何服务除允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用,非被明确允许。第一种的特点是安全但不好用,第二种是好用但不安全,通常采用第二种类型的第二种是好用但不安全,通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。设计策略。而多数防火墙都在两种之间采取折衷。返回本节9.3.4Windows 2000环境下防火墙及环境下防火墙及NAT的实现的实现1实现方法实现方法 通过网络地址转换把内部地址转换成统一的通过网络地址转换把内部地址转换成统一的外
20、部地址,避免了使用代理服务所引起的账号安外部地址,避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务避免各种代理服务端口探测和其他各种常用服务端口的探测,可以启用端口的探测,可以启用Microsoft Proxy Server的动态包过滤功能和的动态包过滤功能和IP分段过滤,达到分段过滤,达到端口隐形的效果。端口隐形的效果。2案例环境案例环境假定有一台假定有一台Web服务器(服务器(WWW),),地址为地址为10.1.0.20,其完整域名为:,其完整域名为:,对应解析的对应解析的IP地址
21、为地址为192.168.0.10,在其上在其上装有两块网卡,命名为本地连接装有两块网卡,命名为本地连接1和本地连接和本地连接2,它 们 的它 们 的 I P 地 址 分 别 为:地 址 分 别 为:1 0.1.0.1 和和192.168.0.9。3MS Windows 2000 NAT网络地址转换的实网络地址转换的实现现(1)路由和远程访问服务)路由和远程访问服务(2)网络地址转换的实现)网络地址转换的实现:静态路由、网络地址静态路由、网络地址转换、地址和特殊端口、转换、地址和特殊端口、IP地址欺骗过滤。地址欺骗过滤。表9.2地址和特殊端口配置表表9.3内部地址欺骗过滤内部地址欺骗过滤配置配置
22、表表9.4外部地址欺骗过滤外部地址欺骗过滤配置配置4MS Proxy Server动态包过滤和反向代理动态包过滤和反向代理Proxy Server功能的配置界面如图功能的配置界面如图9.14所示。所示。(1)MS Proxy Server动态过滤记录文件的详动态过滤记录文件的详细说明如表细说明如表9.5所示。所示。(2)MS Proxy Server动态包过滤的实现如表动态包过滤的实现如表9.6所示。所示。图9.14Proxy Server功能的配置界面 表9.5一条记录条目的说明表表9.6动态包过滤规则动态包过滤规则返回本节THANK YOU VERY MUCH!本章到此结束,本章到此结束,谢谢您的光临!谢谢您的光临!返回本章首页结束放映
