第5章 防火墙技术.ppt

《第5章 防火墙技术.ppt》由会员分享，可在线阅读，更多相关《第5章 防火墙技术.ppt（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第 5 章：防火墙技术章：防火墙技术第第5章章防火墙技术防火墙技术5.1 5.1 防火墙安全概述防火墙安全概述5.2 5.2 防火墙技术的分类防火墙技术的分类5.3 5.3 常见的防火墙系统结构常见的防火墙系统结构5.4 5.4 防火墙选购策略防火墙选购策略5.5 5.5 防火墙实例防火墙实例第第 5 章：防火墙技术章：防火墙技术5.1防火墙技术概述防火墙技术概述5.1.1 5.1.1 防火墙的定义防火墙的定义5.1.2 5.1.2 防火墙的作用防火墙的作用5.1.3 5.1.3 防火墙的缺陷防火墙的缺陷5.1.4 5.1.4 防火墙技术的发展趋势防火墙技术的发展趋势第第 5 章：防火墙技术

2、章：防火墙技术5.1.1 5.1.1 防火墙的定义防火墙的定义人人们们用用于于保保护护计计算算机机网网络络中中敏敏感感数数据据不不被被窃窃取取和篡改的计算机软硬系统叫做和篡改的计算机软硬系统叫做“防火墙防火墙”。防防火火墙墙是是设设置置在在不不同同网网络络（如如可可信信任任的的企企业业内内部部网网和和不不可可信信任任的的公公共共网网）或或网网络络安安全全域域之之间间的的一一系系列列部部件件的的组组合合。它它可可通通过过监监测测、限限制制、更更改改跨跨越越防防火火墙墙的的数数据据流流，尽尽可可能能地地对对外外部部屏屏蔽蔽网网络络内内部部的的信信息息、结结构构和和运运行行状状况况，以以此此来来实现

3、网络的安全保护。实现网络的安全保护。第第 5 章：防火墙技术章：防火墙技术防防火火墙墙是是一一类类防防范范措措施施的的总总称称，不不是是一一个个单单独独的的计计算算机机程程序序或或设设备备。在在物物理理上上，它它通通常常是是一一组组硬硬件件设设备和软件的多种组合。备和软件的多种组合。防火墙示意图防火墙示意图第第 5 章：防火墙技术章：防火墙技术5.1.2 5.1.2 防火墙的作用防火墙的作用防火墙的作用主要体现在以下几个方面：防火墙的作用主要体现在以下几个方面：1防火墙是网络安全的屏障防火墙是网络安全的屏障2防火墙可以强化网络安全策略防火墙可以强化网络安全策略3网络存取和访问监控审计网络存取和

4、访问监控审计4防止内部信息的外泄防止内部信息的外泄5防火墙支持具有防火墙支持具有Internet服务特性的企业服务特性的企业内部网络技术体系内部网络技术体系VPN第第 5 章：防火墙技术章：防火墙技术5.1.3 5.1.3 防火墙的缺陷防火墙的缺陷尽管防火墙有许多防范功能，但由于互连网的开放尽管防火墙有许多防范功能，但由于互连网的开放性，它也有一些不如人意的地方，主要表现在以下性，它也有一些不如人意的地方，主要表现在以下几个方面。几个方面。1）防火墙不能防范绕过防火墙的攻击。）防火墙不能防范绕过防火墙的攻击。2）防火墙不能防止数据驱动式攻击。）防火墙不能防止数据驱动式攻击。3）防火墙不能防止感

5、染了病毒的软件或文件的传输。）防火墙不能防止感染了病毒的软件或文件的传输。4）防火墙不能防止来自内部变节者和用户带来的威）防火墙不能防止来自内部变节者和用户带来的威胁。胁。第第 5 章：防火墙技术章：防火墙技术5.1.4 5.1.4 防火墙技术的发展趋势防火墙技术的发展趋势1深度包检测深度包检测深度包检测是指对数据报的分析深人到内存，充分深度包检测是指对数据报的分析深人到内存，充分理解各种应用协议的流程以及脆弱性所在，以做出理解各种应用协议的流程以及脆弱性所在，以做出针对性的检测和保护。针对性的检测和保护。2网络安全产品的系统化网络安全产品的系统化将防火墙和入侵检测、病毒检测等相关安全产品联将

6、防火墙和入侵检测、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，系统网络的安全性得立一个有效的安全防范体系，系统网络的安全性得以明显提升。以明显提升。第第 5 章：防火墙技术章：防火墙技术5.2 防火防火墙墙技技术术的分的分类类5.2.1 5.2.1 包过滤防火墙技术包过滤防火墙技术5.2.2 5.2.2 代理防火墙技术代理防火墙技术返回本章首页返回本章首页第第 5 章：防火墙技术章：防火墙技术5.2.1 5.2.1 包过滤防火墙技术包过滤防火墙技术1包过滤防火墙技术包过滤防火墙技术数据包过滤数据包过滤

7、技术是防火墙为系统提供安全保障的主要技术，它技术是防火墙为系统提供安全保障的主要技术，它依据系统内事先设定的过滤逻辑，通过设备对进出网络的数据依据系统内事先设定的过滤逻辑，通过设备对进出网络的数据流进行有选择的控制与操作。流进行有选择的控制与操作。数据包过滤技术作为防火墙的应用有数据包过滤技术作为防火墙的应用有3种。第一种是路由设备种。第一种是路由设备在完成路由选择和数据转发的同时进行包过滤。第在完成路由选择和数据转发的同时进行包过滤。第2种是在工种是在工作站上使用软件进行包过滤。第作站上使用软件进行包过滤。第3种是在一种种是在一种是在一种称为屏是在一种称为屏蔽路由器的路由设备上启动包过滤功能

8、。目前较常用的方式是蔽路由器的路由设备上启动包过滤功能。目前较常用的方式是第一种。第一种。包过滤作用在网络层和传输层，以包过滤作用在网络层和传输层，以IP包信息为基础，对通过防包信息为基础，对通过防火墙的火墙的IP包的源包的源,目的地址，目的地址，TCP/UDP的端口标识符及的端口标识符及ICMP等进行检查。等进行检查。第第 5 章：防火墙技术章：防火墙技术2包过滤防火墙技术的优缺点包过滤防火墙技术的优缺点数据包过滤防火墙技术有很多优点，主要体现数据包过滤防火墙技术有很多优点，主要体现在以下几点。在以下几点。1）包过滤技术不用改动客户机和主机上的应）包过滤技术不用改动客户机和主机上的应用程序用

9、程序.2）单独的，放置恰当的数据包过滤路由器有助于整）单独的，放置恰当的数据包过滤路由器有助于整个网络。个网络。3）数据包过滤技术对用户没有特别的要求。）数据包过滤技术对用户没有特别的要求。4）大多数路由器都具有数据包过滤功能，）大多数路由器都具有数据包过滤功能，第第 5 章：防火墙技术章：防火墙技术数据包过滤也存在一些缺陷。数据包过滤也存在一些缺陷。1）在过滤过程中判别的只有网络层和传输层的有限）在过滤过程中判别的只有网络层和传输层的有限信息。信息。2）在许多过滤器中，过滤规则的数目是有限制的，）在许多过滤器中，过滤规则的数目是有限制的，随着规则数目的增加，设备性能会受到很大地影响，随着规则

10、数目的增加，设备性能会受到很大地影响，导致数据包过滤器使用户难以用某些用户需要的规则。导致数据包过滤器使用户难以用某些用户需要的规则。3）当前的过滤工具并不完善，或多或少的存在一些）当前的过滤工具并不完善，或多或少的存在一些局限性。局限性。4）由于缺少上下文关联信息，数据包过滤路由器不）由于缺少上下文关联信息，数据包过滤路由器不能有效地过滤诸如能有效地过滤诸如UDP，RPC，FTP一类的协议。一类的协议。5）数据包过滤技术对安全管理人员素质要求较高。）数据包过滤技术对安全管理人员素质要求较高。第第 5 章：防火墙技术章：防火墙技术5.2.2 5.2.2 代理防火墙技术代理防火墙技术1代理防火墙

11、技术代理防火墙技术代理防火墙的主要是因为代理服务器（代理防火墙的主要是因为代理服务器（ProxyServer）。代理服务器是指代理内部网络用户与）。代理服务器是指代理内部网络用户与外部网络服务器进行信息交换的程序。它可以将外部网络服务器进行信息交换的程序。它可以将内部用户的请求确认后送达外部服务器，同时将内部用户的请求确认后送达外部服务器，同时将外部服务器的响应再送给用户。外部服务器的响应再送给用户。代理防火墙作用在应用层，用来提供应用层服务代理防火墙作用在应用层，用来提供应用层服务的控制，其特点是完全阻隔了网络通信流，通过的控制，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理

12、程序。实现监视对每种应用服务编制专门的代理程序。实现监视和控制应用层通信流的作用。所以代理防火墙又和控制应用层通信流的作用。所以代理防火墙又被称为应用代理或应用层网关型防火墙。被称为应用代理或应用层网关型防火墙。第第 5 章：防火墙技术章：防火墙技术代理防火墙的示意图代理防火墙的示意图第第 5 章：防火墙技术章：防火墙技术2代理防火墙技术的优缺点代理防火墙技术的优缺点代理防火墙技术的优点如下。代理防火墙技术的优点如下。1）代理能生成各项记录。）代理能生成各项记录。2）代理易于配置。）代理易于配置。3）代理能灵活，完全地控制进出流量，内容。）代理能灵活，完全地控制进出流量，内容。通过采取一定措施

13、，按照一定的规则，用户可通过采取一定措施，按照一定的规则，用户可以借助代理实现一整套的安全策略。以借助代理实现一整套的安全策略。4）代理能过滤数据内容。）代理能过滤数据内容。5）代理可以方便地与其他安全手段集成。）代理可以方便地与其他安全手段集成。第第 5 章：防火墙技术章：防火墙技术代理防火墙技术了有它的缺点。代理防火墙技术了有它的缺点。1）代理对用户不透明，多代理要求客户端做相）代理对用户不透明，多代理要求客户端做相应改动或安装定制客户端软件，这给用户增加应改动或安装定制客户端软件，这给用户增加了不透明度。了不透明度。2）代理速度比路由器慢。）代理速度比路由器慢。3）对于每项服务代理可能要

14、求不同的服务器。）对于每项服务代理可能要求不同的服务器。4）除了一些为代理而设的服务，代理服务器要）除了一些为代理而设的服务，代理服务器要求对客户或过程进行限制，每一种限制都有不求对客户或过程进行限制，每一种限制都有不足之处，人们无法经常按他们自己的步骤使用足之处，人们无法经常按他们自己的步骤使用快捷可用的工作。快捷可用的工作。5）代理服务器不能保证免受所有协议弱点的限）代理服务器不能保证免受所有协议弱点的限制。制。6）代理不能改进底层协议的安全性。）代理不能改进底层协议的安全性。第第 5 章：防火墙技术章：防火墙技术5.3 常常见见的防火的防火墙墙系系统结统结构构出出于于对对更更高高安安全全

15、性性的的要要求求，通通常常的的防防火火墙墙系系统统是是多多种种解解决决不不同同问问题题的的技技术术的的有有机机组组合合。例例如如，把把基基于于包包过过滤滤的的方方法法与与基基于于应应用用代代理理的的方方法法结结合起来。就形成复合型防火墙产品。合起来。就形成复合型防火墙产品。返回本章首页返回本章首页第第 5 章：防火墙技术章：防火墙技术目前常见的配置有以下几种：目前常见的配置有以下几种：1屏蔽路由器屏蔽路由器屏蔽路由器是防火墙最基本的构件，是最简单屏蔽路由器是防火墙最基本的构件，是最简单也是最常见的防火墙。屏蔽路由器作为内外连也是最常见的防火墙。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都

16、必须在此通接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于过检查。路由器上可以安装基于IP层的报文过层的报文过滤软件，实现报文过滤功能。许多路由器本身滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。带有报文过滤配置选项，但一般比较简单。这种配置的优点是：容易实现、费用少，并且这种配置的优点是：容易实现、费用少，并且对用户的要求较少，使用方便。其缺点是：对用户的要求较少，使用方便。其缺点是：日志记录能力不强，规则表庞大、复杂，整个日志记录能力不强，规则表庞大、复杂，整个系统依靠单一的部件来进行保护，一旦被攻击，系统依靠单一的部件来进行保护，一旦被

17、攻击，系统管理员很难确定系统是否正在被入侵或已系统管理员很难确定系统是否正在被入侵或已经被入侵了经被入侵了第第 5 章：防火墙技术章：防火墙技术2双宿主主机网关双宿主主机网关双宿主主机是一台安装有有两块网卡的计算机，每块网卡有双宿主主机是一台安装有有两块网卡的计算机，每块网卡有各自的各自的IP地址，并分别与受保护网和外部网相连。如果外部地址，并分别与受保护网和外部网相连。如果外部网络上的计算机想与内部网络上的计算机进行通信，它就必网络上的计算机想与内部网络上的计算机进行通信，它就必须与双宿主主机上与外部相连的须与双宿主主机上与外部相连的IP地址联系，代理服务器软地址联系，代理服务器软件再通过另

18、一块网卡与内部网络相连接。件再通过另一块网卡与内部网络相连接。这种配置是用双宿主主机做防火墙，两块网卡各自在主机上这种配置是用双宿主主机做防火墙，两块网卡各自在主机上运行着防火墙软件，可以转发应用程序、提供服务等。运行着防火墙软件，可以转发应用程序、提供服务等。优点：网关可将受保护网络与外界完全隔离；代理服务器可优点：网关可将受保护网络与外界完全隔离；代理服务器可提供日志，有助于网络管理员确认哪些主机可能已被入侵；提供日志，有助于网络管理员确认哪些主机可能已被入侵；同时，由于它本身是一台主机，所以可用于诸如身份验证服同时，由于它本身是一台主机，所以可用于诸如身份验证服务器及代理服务器，使其具有

19、多种功能。务器及代理服务器，使其具有多种功能。缺点：双宿主主机的每项服务必须使用专门设计的代理服务缺点：双宿主主机的每项服务必须使用专门设计的代理服务器，即使较新的代理服务器能处理几种服务，也不能同时进器，即使较新的代理服务器能处理几种服务，也不能同时进行；另外，一旦双宿主主机受到攻击，并使其只具有路由功行；另外，一旦双宿主主机受到攻击，并使其只具有路由功能，那么任何网上用户都可以随便访问内部网络了，这将严能，那么任何网上用户都可以随便访问内部网络了，这将严重损害网络的安全性。重损害网络的安全性。第第 5 章：防火墙技术章：防火墙技术 双宿主主机网关双宿主主机网关第第 5 章：防火墙技术章：防

20、火墙技术3屏蔽主机网关屏蔽主机网关屏蔽主机网关由屏蔽路由器和应用网关组成，屏蔽屏蔽主机网关由屏蔽路由器和应用网关组成，屏蔽路由器的作用是包过滤，应用网关的作用是代理服路由器的作用是包过滤，应用网关的作用是代理服务。这样，在内部网络和外部网络之间建立了两道务。这样，在内部网络和外部网络之间建立了两道安全屏障，既实现了网络层安全，又实现了应用层安全屏障，既实现了网络层安全，又实现了应用层安全。安全。屏蔽主机网关比双宿主主机网关设置更加灵活，它屏蔽主机网关比双宿主主机网关设置更加灵活，它可以设置成使屏蔽路由器将某些通信直接传到内部可以设置成使屏蔽路由器将某些通信直接传到内部网络的站点，而不是传到应用

21、层网关。另外，屏蔽网络的站点，而不是传到应用层网关。另外，屏蔽主机网关具有双重保护，安全性更高。主机网关具有双重保护，安全性更高。缺点缺点:由于要求对两个部件配置，使它们能协同工作，由于要求对两个部件配置，使它们能协同工作，所以屏蔽主机的主机将失去任何的安全保护，整个所以屏蔽主机的主机将失去任何的安全保护，整个网络将对攻击者敞开网络将对攻击者敞开第第 5 章：防火墙技术章：防火墙技术屏蔽主机网关屏蔽主机网关第第 5 章：防火墙技术章：防火墙技术4屏蔽子网屏蔽子网屏蔽子网系统结构是在屏蔽主机网关的基础上再加上一个屏屏蔽子网系统结构是在屏蔽主机网关的基础上再加上一个屏蔽路由器，两个路由器放在子网的

22、两端，三者形成了一个被蔽路由器，两个路由器放在子网的两端，三者形成了一个被称为称为“非军事区非军事区”的子网。的子网。这种方法在内部网络和外部网络之间建立了一个被隔离的子这种方法在内部网络和外部网络之间建立了一个被隔离的子网。用两台屏蔽路由器将这一子网分别与内部网络和外部网网。用两台屏蔽路由器将这一子网分别与内部网络和外部网络分开。内部网络和外部网络均可访问被屏蔽子网，但禁止络分开。内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。外部屏蔽路由器和应用网关与在它们穿过被屏蔽子网通信。外部屏蔽路由器和应用网关与在屏蔽主机网关中的功能相同，内部屏蔽路由器在应用网关和屏蔽主机网关中

23、的功能相同，内部屏蔽路由器在应用网关和受保护网络之间提供附加保护。在屏蔽子网防火墙系统结构受保护网络之间提供附加保护。在屏蔽子网防火墙系统结构中，应用网关和屏蔽路由器共同构成了整个防火墙的安全基中，应用网关和屏蔽路由器共同构成了整个防火墙的安全基础。础。屏蔽子网防火墙系统结构的不足是，它要求的设备和软件模屏蔽子网防火墙系统结构的不足是，它要求的设备和软件模块是上述几种防火墙系统结构最多的，其配置也相当复杂和块是上述几种防火墙系统结构最多的，其配置也相当复杂和昂贵。昂贵。第第 5 章：防火墙技术章：防火墙技术屏蔽子网屏蔽子网第第 5 章：防火墙技术章：防火墙技术5.4 5.4 防火墙选购策略防火

24、墙选购策略1防火墙自身的安全性防火墙自身的安全性2应考虑的特殊需求应考虑的特殊需求3防火墙系统的稳定性和可靠性防火墙系统的稳定性和可靠性4防火墙的性能防火墙的性能5防火墙配置的方便性防火墙配置的方便性第第 5 章：防火墙技术章：防火墙技术5.5防火防火墙实例例5.5.1常见防火墙简介常见防火墙简介5.5.2天网防火墙个人版简介天网防火墙个人版简介第第 5 章：防火墙技术章：防火墙技术5.5.1 5.5.1 常见防火墙软件介绍常见防火墙软件介绍1CheckPointFirewall-1CheckPoint公司推出的公司推出的Firewall-1共支持两个平台：一共支持两个平台：一个是个是UNIX

25、平台；另一个是平台；另一个是WindowsNT平台。平台。Firewall-1具有一种很特别的结构，称为多层次状态监视结构。这种具有一种很特别的结构，称为多层次状态监视结构。这种结构让结构让Firewall-1可以对复杂的网络应用软件进行快速支可以对复杂的网络应用软件进行快速支持。持。Firewall-1提供了最佳权限控制、最佳综合性能及简单明提供了最佳权限控制、最佳综合性能及简单明了的管理。除了了的管理。除了NAT外，它具有用户认证功能。对于外，它具有用户认证功能。对于FTP，可以根据，可以根据put、set以及文件名加以限制。对于以及文件名加以限制。对于SMTP，它可以丢弃超过一定大小的邮

26、件，对邮件进行病毒扫描，它可以丢弃超过一定大小的邮件，对邮件进行病毒扫描，以及改写邮件头信息。以及改写邮件头信息。Firewall-1还可以防止有害还可以防止有害SMTP命令（如命令（如debug）的执行。）的执行。Firewall-1的用户界面是网络控制中心，定义和实施复杂的用户界面是网络控制中心，定义和实施复杂的安全规则非常容易。每个规则还有一个域用于文档记录，的安全规则非常容易。每个规则还有一个域用于文档记录，如为什么制定这条规则，何时制定及由谁制定。如为什么制定这条规则，何时制定及由谁制定。第第 5 章：防火墙技术章：防火墙技术2AXENTRaptorRaptor是代理型防火墙中最好的

27、。它的界面易读、是代理型防火墙中最好的。它的界面易读、易操作，在实时日志方面，仅次于易操作，在实时日志方面，仅次于Firewall-1。Raptor的优势还在于其代理的深度和广度。只有它的优势还在于其代理的深度和广度。只有它提供对提供对MicrosoftNT服务器的保护。它还具有服务器的保护。它还具有SQL*NET代理功能，可控制对代理功能，可控制对Oracle数据库的访问。数据库的访问。Raptor在在SMTP方面做得很好，而且它是惟一可防方面做得很好，而且它是惟一可防止缓存溢出的防火墙，它可以代理止缓存溢出的防火墙，它可以代理NNTP（网络新（网络新闻协议）和闻协议）和NTP（网络时间协议

28、）。（网络时间协议）。第第 5 章：防火墙技术章：防火墙技术5.5.2 5.5.2 天网防火墙个人版简介天网防火墙个人版简介天网防火墙个人版是个人电脑使用的网络安全程序，天网防火墙个人版是个人电脑使用的网络安全程序，根据管理者设定的安全规则把守网络，提供强大的访根据管理者设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能，帮你抵挡网络入侵和攻击，问控制、信息过滤等功能，帮你抵挡网络入侵和攻击，防止信息泄露。天网防火墙把网络分为本地网和互联防止信息泄露。天网防火墙把网络分为本地网和互联网，可针对来自不同网络的信息，来设置不同的安全网，可针对来自不同网络的信息，来设置不同的安全方案，适合于

29、任何方式上网的用户。方案，适合于任何方式上网的用户。1）严密的实时监控）严密的实时监控2）灵活的安全规则）灵活的安全规则3）应用程序规则设置）应用程序规则设置4）详细的访问记录和完善的报警系统）详细的访问记录和完善的报警系统第第 5 章：防火墙技术章：防火墙技术本章小本章小结防火墙是用于保护计算机网络中敏感数据不被窃取和防火墙是用于保护计算机网络中敏感数据不被窃取和篡改的计算机软硬系统。篡改的计算机软硬系统。防火墙技术分为包过滤防火墙技术和代理防火墙技术。防火墙技术分为包过滤防火墙技术和代理防火墙技术。防火墙体系应该是多种解决不同问题的技术的有机组防火墙体系应该是多种解决不同问题的技术的有机组

30、合。常见的配置有：屏蔽路由器、双宿主主机网关、合。常见的配置有：屏蔽路由器、双宿主主机网关、屏蔽主机网关、屏蔽子网等几种。屏蔽主机网关、屏蔽子网等几种。防火墙在选购时应注意策略。如何选购一个安全、稳防火墙在选购时应注意策略。如何选购一个安全、稳定、可靠的防火墙产品是非常重要的。定、可靠的防火墙产品是非常重要的。防火墙是目前用来实现网络安全措施的一种主要手段，防火墙是目前用来实现网络安全措施的一种主要手段，但网络安全单靠防火墙是远远不够的。但网络安全单靠防火墙是远远不够的。第第 5 章：防火墙技术章：防火墙技术Thank you very much!Thank you very much!返回本章首页返回本章首页退退 出出