第4章網(wǎng)絡(luò)安全-3防火墻

1、2021-7-5Ch9-防火墻1 防火墻防火墻 主要知識點(diǎn)：主要知識點(diǎn)： - 防火墻概述防火墻概述 - 防火墻技術(shù)防火墻技術(shù) - 防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu) 2021-7-5Ch9-防火墻2 防火墻概述防火墻概述 為什么需要防火墻為什么需要防火墻 對網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止 未授權(quán)的訪問進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，即對 網(wǎng)絡(luò)進(jìn)行訪問控制。 防火墻在網(wǎng)絡(luò)安全中的位置 2021-7-5Ch9-防火墻3 VPN VPN 虛擬專用網(wǎng)虛擬專用網(wǎng) 防火墻防火墻 內(nèi)容檢測內(nèi)容檢測 防病毒防病毒 入侵探測入侵探測 誰需要防火墻誰需要防火墻 2021-7-5Ch9-防火墻4 任何使用互聯(lián)網(wǎng)的企事業(yè)單位都需要防火墻任

2、何使用互聯(lián)網(wǎng)的企事業(yè)單位都需要防火墻 2021-7-5Ch9-防火墻5 防火墻的來源防火墻的來源 “防火墻”一詞源自于早期建筑。在 古代，構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候 為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固 的石塊堆砌在房屋周圍作為屏障，這種 防 護(hù) 構(gòu) 筑 物 就 被 稱 為 “ 防 火 墻 ” （FireWall）。如今在計(jì)算機(jī)網(wǎng)絡(luò)中， 沿用了古代這個(gè)名字來表示實(shí)現(xiàn)類似的 網(wǎng)絡(luò)安全功能。 防火墻的基本概念防火墻的基本概念 2021-7-5Ch9-防火墻6 所謂“防火墻”，指的就是一種被 放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的 防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù) 據(jù)都要經(jīng)過它的判斷處理后，才會(huì)決定

3、能不能把這些數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā) 現(xiàn)有害數(shù)據(jù)，防火墻就會(huì)攔截下來，實(shí) 現(xiàn)了對計(jì)算機(jī)的保護(hù)功能。 防火墻示意圖防火墻示意圖 防火墻的實(shí)現(xiàn)層次 2021-7-5Ch9-防火墻8 2021-7-5Ch9-防火墻9 防火墻的兩條基本規(guī)則防火墻的兩條基本規(guī)則 一切未被允許的就是禁止的。一切未被允許的就是禁止的。 基于該規(guī)則，防火墻應(yīng)封鎖所有信息流，然后 對希望提供的服務(wù)逐項(xiàng)開放，即只允許符合開放規(guī) 則的信息進(jìn)出。這種方法非常實(shí)用，可以造成一種 十分安全的環(huán)境，因?yàn)樗苁褂玫姆?wù)范圍受到了 嚴(yán)格的限制，只有特定的被選中的服務(wù)才被允許使 用。這就使得用戶使用的方便性受到了影響。 一切未被禁止的就是允許的。

4、一切未被禁止的就是允許的。 基于該規(guī)則，防火墻逐項(xiàng)屏蔽被禁止的服務(wù)，而 轉(zhuǎn)發(fā)所有其它信息流。這種方法可以提供一種更為 靈活的應(yīng)用環(huán)境，可為用戶提供更多的服務(wù)。但卻 很難提供可靠的安全防護(hù)，特別是當(dāng)網(wǎng)絡(luò)服務(wù)日益 增多或受保護(hù)的網(wǎng)絡(luò)范圍增大時(shí)。 2021-7-5Ch9-防火墻10 典型的防火墻具有的基本特性典型的防火墻具有的基本特性 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò) 數(shù)據(jù)流都必須經(jīng)過防火墻。數(shù)據(jù)流都必須經(jīng)過防火墻。 只有符合安全策略的數(shù)據(jù)流才能通過只有符合安全策略的數(shù)據(jù)流才能通過 防火墻。防火墻。 防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免 疫

5、力。疫力。 2021-7-5Ch9-防火墻11 防火墻的功能及局限性防火墻的功能及局限性 防火墻的功能防火墻的功能 2021-7-5Ch9-防火墻12 防火墻的局限性防火墻的局限性 防火墻不能防范不經(jīng)由防火墻的攻擊和威脅 不能防御已經(jīng)授權(quán)的訪問，以及存在于網(wǎng)絡(luò)內(nèi)部 系統(tǒng)間的攻擊，不能防御合法用戶惡意的攻擊以及 社交攻擊等非預(yù)期的威脅 防火墻不能防止感染了病毒的軟件或文件的傳輸 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊 不能修復(fù)脆弱的管理措施和存在問題的安全策略 WEB服務(wù)器服務(wù)器 或或SQL服務(wù)器服務(wù)器 FW 2021-7-5Ch9-防火墻13 防火墻的分類防火墻的分類 根據(jù)物理特性分類根據(jù)物理特性分類

6、軟件防火墻軟件防火墻 硬件防火墻硬件防火墻 從結(jié)構(gòu)上分類從結(jié)構(gòu)上分類 單一主機(jī)防火墻單一主機(jī)防火墻 路由集成式防火墻路由集成式防火墻 分布式防火墻分布式防火墻 2021-7-5Ch9-防火墻14 按工作位置分類按工作位置分類 邊界防火墻邊界防火墻 個(gè)人防火墻個(gè)人防火墻 混合防火墻混合防火墻 按防火墻性能分類按防火墻性能分類 百兆級防火墻百兆級防火墻 千兆級防火墻千兆級防火墻 從實(shí)現(xiàn)技術(shù)上分類從實(shí)現(xiàn)技術(shù)上分類 數(shù)據(jù)包過濾技術(shù)數(shù)據(jù)包過濾技術(shù) 代理服務(wù)代理服務(wù) 防火墻技術(shù)的發(fā)展過程 15 2021-7-5Ch9-防火墻16 防火墻技術(shù)防火墻技術(shù) 數(shù)據(jù)包過濾技術(shù)數(shù)據(jù)包過濾技術(shù) 靜態(tài)包過濾 動(dòng)態(tài)包過濾

7、代理服務(wù)代理服務(wù) 應(yīng)用級網(wǎng)關(guān) 電路級網(wǎng)關(guān) 狀態(tài)檢測技術(shù)狀態(tài)檢測技術(shù) 2021-7-5Ch9-防火墻17 數(shù)據(jù)包過濾數(shù)據(jù)包過濾 Internet 包過濾路由器 工作站 服務(wù)器 內(nèi)部網(wǎng)絡(luò) 工作站 工作站 2021-7-5Ch9-防火墻18 應(yīng)用級網(wǎng)關(guān)（代理服務(wù)器）應(yīng)用級網(wǎng)關(guān)（代理服務(wù)器） 應(yīng)用級網(wǎng)關(guān)（代理服務(wù)器）應(yīng)用級網(wǎng)關(guān)（代理服務(wù)器） 應(yīng)用級網(wǎng)關(guān)提供兩個(gè)網(wǎng)絡(luò)間傳輸?shù)母咚降目?制，即能進(jìn)行特定服務(wù)內(nèi)容的監(jiān)控和提供基于網(wǎng)絡(luò) 安全策略的過濾。 服務(wù)器代理客戶代理 客戶代理服務(wù)器代理 應(yīng)用級網(wǎng)關(guān) 服務(wù)器 客戶機(jī) 客戶機(jī) 服務(wù)器 安全網(wǎng)絡(luò)不安全網(wǎng)絡(luò) 2021-7-5Ch9-防火墻19 例：例：FTPFT

8、P代理服務(wù)器代理服務(wù)器 FTP 代理 FTP客戶FTP服務(wù)器 FTP代 理規(guī)則 安全數(shù) 據(jù)庫 TCP/UDP IP/ICMP Interfaces IP過濾 規(guī)則 端口2021 不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò) 2021-7-5Ch9-防火墻20 電路級網(wǎng)關(guān)電路級網(wǎng)關(guān) 電路級網(wǎng)關(guān)是一個(gè)通用代理服務(wù)器，工作在電路級網(wǎng)關(guān)是一個(gè)通用代理服務(wù)器，工作在TCP/IPTCP/IP協(xié)議的協(xié)議的 TCPTCP層，僅僅提供層，僅僅提供TCPTCP連接的轉(zhuǎn)發(fā)而不提供任何其它的報(bào)文處連接的轉(zhuǎn)發(fā)而不提供任何其它的報(bào)文處 理和過濾。理和過濾。 客戶服務(wù)器 TCP層 IP層 Interfaces 不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò) 狀態(tài)檢測技術(shù) 狀態(tài)

9、檢測防火墻不僅像包過濾防火墻考查數(shù)據(jù)包的IP地 址等幾個(gè)孤立的信息，而是增加了對數(shù)據(jù)包連接狀態(tài)變化的 額外考慮。它在防火墻的核心部分建立數(shù)據(jù)包的連接狀態(tài)表 ，將在內(nèi)外網(wǎng)間傳輸?shù)臄?shù)據(jù)包以會(huì)話角度進(jìn)行監(jiān)測，利用狀 態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)，記錄有用的信息以幫助識別不同 的會(huì)話。 例如，對內(nèi)部主機(jī)到外部主機(jī)的連接請求，防火墻會(huì)加 以標(biāo)注，允許從外部響應(yīng)此請求的數(shù)據(jù)包以及隨后兩臺主機(jī) 間傳輸數(shù)據(jù)包通過，直到此連接中斷為止，而對由外部發(fā)起 的企圖連接內(nèi)部主機(jī)的數(shù)據(jù)包則全部丟棄，因此狀態(tài)檢測防 火墻提供了完整的對傳輸層的控制能力。 （以TCP協(xié)議為例，狀態(tài)檢測機(jī)制關(guān)注的主要問題不再 僅是SYN和ACK標(biāo)志位

10、，或者是來源端口和目標(biāo)端口，還包 括了序號、窗口大小等其它TCP協(xié)議信息。） 2021-7-5Ch9-防火墻21 狀態(tài)檢測原理 2021-7-5 Ch9-防火墻 22 2021-7-5Ch9-防火墻23 防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu) 雙宿主機(jī)防火墻結(jié)構(gòu)雙宿主機(jī)防火墻結(jié)構(gòu) 屏蔽主機(jī)防火墻結(jié)構(gòu)屏蔽主機(jī)防火墻結(jié)構(gòu) 屏蔽子網(wǎng)防火墻結(jié)構(gòu)屏蔽子網(wǎng)防火墻結(jié)構(gòu) 2021-7-5Ch9-防火墻24 雙宿主機(jī)防火墻雙宿主機(jī)防火墻 Interne t 堡壘主機(jī) 工作站 服務(wù)器 內(nèi)部網(wǎng)絡(luò) 工作站 工作站 2021-7-5Ch9-防火墻25 屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻 Interne t 路由器堡壘主機(jī) 工作站

11、服務(wù)器 內(nèi)部網(wǎng)絡(luò) 工作站 工作站 2021-7-5Ch9-防火墻26 屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻 Internet 內(nèi)部 網(wǎng)絡(luò) 防火墻 外部路由器 堡壘主機(jī) 內(nèi)部路由器 FTP服務(wù)器 WWW服務(wù)器 Telnet服務(wù)器 防火墻產(chǎn)品 2021-7-5Ch9-防火墻27 2021-7-5Ch9-防火墻28 2021-7-5Ch9-防火墻29 2Cisco PIX防火墻 （1）實(shí)時(shí)嵌入式操作系統(tǒng)。 （2）保護(hù)方案基于自適應(yīng)安全算法（ASA），可以確保 最高的安全性。 （3）用于驗(yàn)證和授權(quán)的“直通代理”技術(shù)。 （4）最多支持250 000個(gè)同時(shí)連接。 （5） URL過濾。 （6）HP Open View集成。 （7）通過電子郵件和尋呼機(jī)提供報(bào)警和告警通知。 （8）通過專用鏈路加密卡提供VPN支持。 （9）符合委托技術(shù)評估計(jì)劃（TTAP），經(jīng)過了美國安 全事務(wù)處（NSA）的認(rèn)證，同時(shí)通過中