1、单击此处编辑母版标题样式单击此处编辑母版副标题样式网络安全与管理课程网络安全与管理课程本章学习目标n 防火墙及相关概念n 包过滤与代理n 防火墙的体系结构n 分布式防火墙与嵌入式防火墙 8.1 防火墙概述n8.1.1 相关概念n8.1.2 防火墙的作用n8.1.3 防火墙的优、缺点8.1.1 相关概念防火墙的概念n防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障着内部网络的安全。8.1.1 相关概念其它概念:n外部网络(外网)n内部网络(内网)n非军事化区(DMZ)n包过滤n代理服务器n状态检测技术n虚拟专用网(VPN)n漏洞n数
2、据驱动攻击nIP地址欺骗8.1.1 相关概念防火墙安全策略一个防火墙应该使用以下两种基本策略中的一种:n 除非明确允许,否则就禁止n 除非明确禁止,否则就允许8.1.2 防火墙的作用防火墙的基本功能从总体上看,防火墙应具有以下基本功能:n可以限制未授权用户进入内部网络,过滤掉不安全服务和非法用户;n防止入侵者接近内部网络的防御设施,对网络攻击进行检测和告警;n限制内部用户访问特殊站点;n记录通过防火墙的信息内容和活动,监视Internet安全提供方便。8.1.3 防火墙的优、缺点1优点 防火墙是加强网络安全的一种有效手段,它有以下优点:n防火墙能强化安全策略;n防火墙能有效地记录Interne
3、t上的活动;n防火墙是一个安全策略的检查站。8.1.3 防火墙的优、缺点2缺点 有人认为只要安装了防火墙,所有的安全问题就会迎刃而解。但事实上,防火墙并不是万能的,安装了防火墙的系统仍然存在着安全隐患。以下是防火墙的一些缺点:n不能防范恶意的内部用户;n不能防范不通过防火墙的连接;n不能防范全部的威胁;n防火墙不能防范病毒;8.2 防火墙技术分类n8.2.1 包过滤技术n8.2.2 代理技术n8.2.3 防火墙技术的发展趋势8.2.1 包过滤技术 包过滤(Packet Filtering)技术在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个包,根据包头信息来
4、确定是否允许数据包通过,拒绝发送可疑的包。8.2.1 包过滤技术包过滤防火墙具有明显的优点:n 一个屏蔽路由器能保护整个网络n 包过滤对用户透明n 屏蔽路由器速度快、效率高 8.2.1 包过滤技术包过滤防火墙的缺点:n 它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录 n 没有一定的经验,是不可能将过滤规则配置得完美 n 不能在用户级别上进行过滤,只能认为内部用户是可信任的、外部用户是可疑的 8.2.1 包过滤技术包过滤防火墙的发展阶段 n 第一代:静态包过滤防火墙n 第二代:动态包过滤(Dynamic Packet Filter)防火墙n 第三代:全状态检测(Stateful
5、Inspection)防火墙n 第四代:深度包检测(Deep Packet Inspection)防火墙8.2.2 代理技术n所谓代理服务器,是指代表内网用户向外网服务器进行连接请求的服务程序。n代理服务器运行在两个网络之间,它对于客户机来说像是一台真的服务器,而对于外网的服务器来说,它又是一台客户机。n代理服务器的基本工作过程是:当客户机需要使用外网服务器上的数据时,首先将请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。8.2.2 代理技术代理的优点n代理易于配置n代理能生成各项记录n代理能灵活、完全地控制进出信息n代理能过滤数据内容8.2
6、.2 代理技术代理的缺点:n代理速度比路由器慢n代理对用户不透明n对于每项服务,代理可能要求不同的服务器n代理服务通常要求对客户或过程进行限制n代理服务受协议弱点的限制n代理不能改进底层协议的安全性8.2.2 代理技术代理防火墙的发展阶段:n应用层代理(Application Proxy)n电路层代理(Circuit Proxy)n自适应代理(Adaptive Proxy)8.2.3 防火墙技术的发展趋势 代理服务器在对应用层的数据过滤方面能力优于包过滤防火墙,但是在性能方面的表现就会大大逊色。总体来说,传统的防火墙已经无法满足人们的安全需求,其功能不足以应付众多的安全威胁。发展趋势:n 功能
7、融合 n 集成化管理 n 分布式体系结构 8.3 防火墙体系结构n8.3.1 双重宿主主机结构n8.3.2 屏蔽主机结构n8.3.3 屏蔽子网结构n8.3.4 防火墙的组合结构8.3.1 双重宿主主机结构双重宿主主机结构是围绕双宿主机来构筑的。n双宿主机(Dual-homed host),又称堡垒主机(Bastion host),是一台至少配有两个网络接口的主机,它可以充当与这些接口相连的网络之间的路由器,在网络之间发送数据包。n一般情况下双宿主机的路由功能是被禁止的,这样可以隔离内部网络与外部网络之间的直接通信,从而达到保护内部网络的作用。8.3.1 双重宿主主机结构双重宿主主机结构8.3.
8、2 屏蔽主机结构n屏蔽主机结构(Screened Host Gateway),又称主机过滤结构。n屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器;n屏蔽路由器连接外部网络,堡垒主机安装在内部网络上;n通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机;n入侵者要想入侵内部网络,必须过屏蔽路由器和堡垒主机两道屏障,所以屏蔽主机结构比双重宿主主机结构具有更好的安全性和可用性。8.3.2 屏蔽主机结构屏蔽主机结构8.3.3 屏蔽子网结构n屏蔽子网结构(Screened Subnet),它是在屏蔽主机结构的基础上添加额外的安全层,即通过添加周边网络(即屏蔽子网
9、)更进一步地把内部网络与外部网络隔离开。n屏蔽子网结构包含外部和内部两个路由器。两个屏蔽路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。8.3.3 屏蔽子网结构屏蔽子网结构8.3.4 防火墙的组合结构建造防火墙时,一般很少采用单一的结构,通常是多种结构的组合。一般有以下几种形式:n 使用多堡垒主机;n 合并内部路由器与外部路由器;n 合并堡垒主机与外部路由器;n 合并堡垒主机与内部路由器;n 使用多台内部路由器;n 使用多台外部路由器;n 使用多个周边网络;n 使用双重宿主主机与屏蔽子网。8.4 内部防火墙n8.4.1 分布式防火墙(Distributed Firewall)n8.4
10、.2 嵌入式防火墙(Embedded Firewall)n8.4.3 个人防火墙8.4.1 分布式防火墙n分布式防火墙是一种全新的防火墙概念,是比较完善的一种防火墙技术,它是在边界防火墙的基础上开发的,目前主要以软件形式出现。n分布式防火墙是一种主机驻留式的安全系统,用以保护内部网络免受非法入侵的破坏。n分布式防火墙把Internet和内部网络均视为“不友好的”,对所有的信息流进行过滤与限制,无论是来自Internet,还是来自内部网络。n它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。8.4.1 分布式防火墙分布式防火墙体系结构分布式防火墙包含以下三个部分:n网络防火墙(
11、Network Firewall)n主机防火墙(Host Firewall)n中心管理(Central Management)8.4.1 分布式防火墙分布式防火墙的主要特点 n主机驻留 n嵌入操作系统内核 n类似于个人防火墙 n适用于服务器托管8.4.1 分布式防火墙分布式防火墙的优势 n增强的系统安全性 n提高了系统性能 n系统的扩展性 n应用更为广泛,支持VPN通信 8.4.2 嵌入式防火墙n目前分布式防火墙主要是以软件形式出现的,也有一些网络设备开发商(如3COM、CISCO等)开发生产了硬件分布式防火墙,做成PCI卡或PCMCIA卡的形式,将分布式防火墙技术集成在硬件上(一般可以兼有网
12、卡的功能),通常称之为嵌入式防火墙。n嵌入式防火墙的代表产品是3Com公司的3Com 10/100安全服务器网卡(3Com 10/100 Secure Server NIC)、3Com 10/100安全网卡(3Com 10/100 Secure NIC)以及3Com公司嵌入式防火墙策略服务器(3Com Embedded Firewall Policy Server)。8.4.3 个人防火墙n个人防火墙是安装在个人计算机里的一段程序,把个人计算机和Internet分隔开。n它检查进出防火墙的所有数据包,决定该拦截这个包还是将其放行。n在不妨碍正常上网浏览的同时,阻止Internet上的其他用户对个人计算机进行的非法访问。8.5 防火墙产品介绍n8.5.1 FireWall-1n8.5.2 天网防火墙8.5.1 FireWall-1 Check Point公司的系列防火墙产品可用于各种平台上,其中Firewall-1是最为流行、市场占有率最高的一种。据IDC的最近统计,FireWall-1防火墙在市场占有率上已超过32%,财富排名前100的大企业里近80%选用了FireWall-1防火墙。
