1、聊城大学环境与规划学院聊城大学环境与规划学院2007年年1月月第二十二讲第二十二讲6.3 防火墙技术6.3.1 防火墙及其功能6.3.2 防火墙的基本技术6.3.3 防火墙的配置6.3 防火墙技术本节教学目标:理解防火墙的功能;理解防火墙的功能;掌握防火墙的基本技术;掌握防火墙的基本技术;了解防火墙的配置。了解防火墙的配置。6.3.1 防火墙及其功能6.3 6.3 防火墙技术防火墙技术 防火墙是一个分离器、限制器、分析器 防火墙软件可以安装在路由器上;防火墙软件也可以安装在一台主机上。6.3.1 防火墙及其功能6.3 6.3 防火墙技术防火墙技术防火墙逻辑位置示意图防火墙逻辑位置示意图 6.3
2、.1 防火墙及其功能防火墙的功能:6.3 6.3 防火墙技术防火墙技术 作为网络安全的屏障。作为网络安全的屏障。强化网络安全策略。强化网络安全策略。有效的记录有效的记录InternetInternet上的活动。上的活动。防止攻击性故障蔓延和内部信息的泄漏。防止攻击性故障蔓延和内部信息的泄漏。6.3.1 防火墙及其功能防火墙的缺陷:6.3 6.3 防火墙技术防火墙技术 防火墙具有一定的局限,不能防备全部的威胁。防火墙具有一定的局限,不能防备全部的威胁。防火墙不能防止数据驱动式的攻击。防火墙不能防止数据驱动式的攻击。6.3.2 防火墙的基本技术目前使用的防火墙技术主要有:6.3 6.3 防火墙技术
3、防火墙技术1.1.包过滤技术;包过滤技术;就是在网络的适当位置对数据包进行审查;就是在网络的适当位置对数据包进行审查;在在InternetInternet技术中还使用内容过滤技术;技术中还使用内容过滤技术;“黑名单黑名单”软件;软件;“白名单白名单”软件;软件;内容选择平台内容选择平台PICSPICS。6.3.2 防火墙的基本技术数据包过滤防火墙网络的特点:6.3 6.3 防火墙技术防火墙技术 逻辑简单、性能和透明性好;逻辑简单、性能和透明性好;一般安装在路由器上;一般安装在路由器上;这种防火墙实现方式相当简捷、效率较高;这种防火墙实现方式相当简捷、效率较高;在应用环境比较简单的情况下,保证系
4、统安全的在应用环境比较简单的情况下,保证系统安全的代价较小。代价较小。6.3.2 防火墙的基本技术数据包过滤防火墙网络的缺陷:6.3 6.3 防火墙技术防火墙技术 只能根据数据包的来源、目标和端口等网络信息只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用的恶意侵入;进行判断,无法识别基于应用的恶意侵入;由于数据包的源地址、目的地址以及由于数据包的源地址、目的地址以及IPIP端口号都端口号都在数据包的头部,很有可能被窃听或假冒;在数据包的头部,很有可能被窃听或假冒;缺乏用户日志和审计检查,不具备登录报告性能,缺乏用户日志和审计检查,不具备登录报告性能,不能进行审核管理;不能进
5、行审核管理;过滤规则的完整性难以验证,安全性较差。过滤规则的完整性难以验证,安全性较差。6.3.2 防火墙的基本技术2.代理服务技术6.3 6.3 防火墙技术防火墙技术(1 1)代理服务概述)代理服务概述 是位于两个网络之间的一种常见的服务器;是位于两个网络之间的一种常见的服务器;位于客户机和服务器之间,完全阻挡了二者位于客户机和服务器之间,完全阻挡了二者之间的数据交流。之间的数据交流。6.3.2 防火墙的基本技术2.代理服务技术6.3 6.3 防火墙技术防火墙技术6.3.2 防火墙的基本技术其特别之处在于:6.3 6.3 防火墙技术防火墙技术 从客户机来看,相当于一台真正的服务器;从客户机来
6、看,相当于一台真正的服务器;从服务器来看,又是一台真正的客户机。从服务器来看,又是一台真正的客户机。客客户户端端代理服务器服服务务器器InternetIntranet6.3.2 防火墙的基本技术(2)代理服务器的工作原理6.3 6.3 防火墙技术防火墙技术请求请求应答应答转发应答转发应答转发请求转发请求6.3.2 防火墙的基本技术(2)代理服务器的工作原理6.3 6.3 防火墙技术防火墙技术 应用代理程序与服务器之间的连接是虚连接;应用代理程序与服务器之间的连接是虚连接;两条虚连接:两条虚连接:客户连接;客户连接;服务器连接。服务器连接。代理服务器的中转。代理服务器的中转。6.3.2 防火墙的
7、基本技术(3)应用代理程序:6.3 6.3 防火墙技术防火墙技术 是代理服务器的核心部件;是代理服务器的核心部件;是根据不同的应用协议进行设计的。是根据不同的应用协议进行设计的。应用网关可以分为应用网关可以分为FTPFTP网关、网关、TelnetTelnet网关、网关、WebWeb网网关等。关等。6.3.2 防火墙的基本技术(4)代理服务器的功能:6.3 6.3 防火墙技术防火墙技术 中转数据;中转数据;对传输的数据进行预处理。对传输的数据进行预处理。对中转数据提供详细的日志和审计。对中转数据提供详细的日志和审计。节省节省IPIP地址。地址。节省网络资源。节省网络资源。6.3.2 防火墙的基本
8、技术3.堡垒主机6.3 6.3 防火墙技术防火墙技术 是运行防火墙软件的主机;是运行防火墙软件的主机;使防火墙最关键的部件。使防火墙最关键的部件。也是入侵者最关注的部件。也是入侵者最关注的部件。必须健壮,必须不容易被攻破。必须健壮,必须不容易被攻破。6.3.3 防火墙的配置1.包过滤路由器6.3 6.3 防火墙技术防火墙技术 是最简单的一种;是最简单的一种;除路由功能,还安装了分组除路由功能,还安装了分组/包过滤软件。包过滤软件。容易实现。容易实现。安全性非常脆弱。安全性非常脆弱。仅在早期的仅在早期的InternetInternet中使用。中使用。6.3.3 防火墙的配置2.屏蔽主机防火墙6.
9、3 6.3 防火墙技术防火墙技术 由同时部署的包过滤路由器和堡垒主机组成;由同时部署的包过滤路由器和堡垒主机组成;包过滤路由器实现网络层安全。包过滤路由器实现网络层安全。代理服务器实现应用层安全。代理服务器实现应用层安全。包过滤路由器被配置在外网和堡垒主机之间。包过滤路由器被配置在外网和堡垒主机之间。6.3.3 防火墙的配置堡垒主机分为两种类型:6.3 6.3 防火墙技术防火墙技术 双连点堡垒主机双连点堡垒主机 单连点堡垒主机单连点堡垒主机6.3.3 防火墙的配置6.3 6.3 防火墙技术防火墙技术 双连点堡垒主机双连点堡垒主机包过滤路由器信息服务器堡垒主机Intranet6.3.3 防火墙的
10、配置6.3 6.3 防火墙技术防火墙技术 单连点堡垒主机单连点堡垒主机包过滤路由器信息服务器堡垒主机Intranet6.3.3 防火墙的配置屏蔽主机防火墙的优势与缺陷:6.3 6.3 防火墙技术防火墙技术 具有双重保护,又较高的安全可靠性;具有双重保护,又较高的安全可靠性;能有选择的允许那些可以信赖的应用程序通过路能有选择的允许那些可以信赖的应用程序通过路由器,非常灵活。由器,非常灵活。但他要求考虑堡垒主机和路由器两个方面的安全但他要求考虑堡垒主机和路由器两个方面的安全性。性。系统的灵活性也会导致走捷径从而破坏安全性。系统的灵活性也会导致走捷径从而破坏安全性。6.3.3 防火墙的配置3.屏蔽子
11、网防火墙6.3 6.3 防火墙技术防火墙技术外部路由器信息服务器堡垒主机IntranetDMZ内部路由器Modem6.3.3 防火墙的配置屏蔽子网防火墙的特点6.3 6.3 防火墙技术防火墙技术 由两个路由器构成一个由两个路由器构成一个“非军事区非军事区”;迫使源于内部主机的业务流和源于外部主机的迫使源于内部主机的业务流和源于外部主机的业务流都必须经过堡垒主机。业务流都必须经过堡垒主机。任何跨越子网的直接访问都是被严格禁止的。任何跨越子网的直接访问都是被严格禁止的。具有较高的安全性。具有较高的安全性。要求的设备和软件模块较多,价格较贵且相当要求的设备和软件模块较多,价格较贵且相当复杂。复杂。THANK YOU VERY MUCH!
