防火墻與網(wǎng)絡(luò)安全

1、防火墻與網(wǎng)絡(luò)安全主要內(nèi)容： 防火墻概念 防火墻功能 防火墻分類 防火墻設(shè)計(jì) 防火墻產(chǎn)品介紹1.1 防火墻概念網(wǎng)絡(luò)防火墻是指隔離在內(nèi)網(wǎng)與外網(wǎng)之間的一道防御系統(tǒng)，防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息，僅讓安全、核準(zhǔn)了的信息進(jìn)入，拒絕抵制不安全的數(shù)據(jù)。1.1 防火墻概念防火墻的工作姿態(tài)： 拒絕沒有特別允許的任何事情。這種姿態(tài)假定防火墻應(yīng)該阻塞 所有的信息，而每一種所期望的服務(wù)或應(yīng)用都是實(shí)現(xiàn)在case- by-case的基礎(chǔ)上。 允許沒有特別拒絕的任何事情。這種姿態(tài)假定防火墻應(yīng)該轉(zhuǎn)發(fā) 所有的信息，任何可能存在危害的服務(wù)都應(yīng)在case-by-case的 基礎(chǔ)上關(guān)掉。1.2 防火墻功能1.3 防火墻分類按實(shí)現(xiàn)

2、方式分 軟件防火墻 實(shí)現(xiàn)：在通用的計(jì)算機(jī)系統(tǒng)上安裝防火墻軟件，通過防火墻軟件設(shè)置安全策略。 特點(diǎn)：軟件防火墻成本相對(duì)較低，功能豐富靈活，可以工作在網(wǎng)絡(luò)層和應(yīng)用層； 軟件防火墻采用軟件實(shí)現(xiàn)，性能受到影響； 軟件防火墻建立在通用的計(jì)算機(jī)及操作系統(tǒng)之上，本身存在安全性弱點(diǎn)； 硬件防火墻 實(shí)現(xiàn)：采用專用的硬件和軟件合成的防火墻，通過防火墻提供的配置命令設(shè)置安全策略。 特點(diǎn)：硬件防火墻的硬件、軟件都是專門針對(duì)防火墻功能而設(shè)計(jì)的，與軟件防火墻相比 具有高安全性、高性能等優(yōu)點(diǎn)，但靈活性不如軟件防火墻。1.3 防火墻分類按實(shí)現(xiàn)原理分 包過濾防火墻 原理：在網(wǎng)絡(luò)層和傳輸層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)預(yù)先設(shè)定好

3、的過濾規(guī)則ACL， 檢查經(jīng)過的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源IP地址/目標(biāo)IP地址/協(xié)議/端口確定是否 允許通過。 實(shí)現(xiàn)：路由器一般都具備包過濾功能。 應(yīng)用級(jí)防火墻 原理：應(yīng)用級(jí)防火墻采用代理服務(wù)的方式， 防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)應(yīng)用層的鏈接是在 兩個(gè)終止于代理服務(wù)的鏈接來實(shí)現(xiàn)， 這樣便隔離了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的任何 直接鏈接，然后由代理按照制定的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過濾處理； 實(shí)現(xiàn)：應(yīng)用級(jí)防火墻一般采用在通用計(jì)算機(jī)系統(tǒng)上安裝軟件防火墻實(shí)現(xiàn)，即代理服務(wù)器。 2.1 防火墻設(shè)計(jì)屏蔽路由器實(shí)現(xiàn)：采用路由器配置包過濾防火墻，設(shè)置ACL、NAT等包過濾防火墻的基本功能。 特點(diǎn)： 支持網(wǎng)絡(luò)層的安全策略：過濾特定

4、網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包，防御源IP地址欺騙式 攻擊（偽裝內(nèi)網(wǎng)IP）、源路由攻擊（旁路）等；不支持應(yīng)用層次的安全策略。 單純的包過濾防火墻的安全機(jī)制是比較脆弱，無法抵御來自數(shù)據(jù)驅(qū)動(dòng)式攻擊 的潛在危險(xiǎn)，且對(duì)黑客來說是比較容易攻擊的。2.2 防火墻設(shè)計(jì)雙穴主機(jī)網(wǎng)關(guān)實(shí)現(xiàn)： 采用一臺(tái)裝有兩塊網(wǎng)卡的主機(jī)（堡壘主機(jī)）做防火墻，兩塊網(wǎng)卡分別與內(nèi)網(wǎng)和外部網(wǎng)相連， 堡壘主機(jī)上運(yùn)行防火墻軟件提供代理服務(wù)，阻斷了內(nèi)外網(wǎng)數(shù)據(jù)的直接交換，由堡壘主機(jī)根 據(jù)規(guī)則轉(zhuǎn)發(fā)，屬于應(yīng)用級(jí)防火墻，即代理服務(wù)器。特點(diǎn)： 與屏蔽路由器（包過濾）相比，應(yīng)用級(jí)防火墻工作在應(yīng)用層，能夠?qū)Ψ?wù)進(jìn)行全面的 控制，支持應(yīng)用層安全策略，如限制服務(wù)的命令集，支持

5、應(yīng)用層次上的過濾，維護(hù)系 統(tǒng)日志等。 一旦黑客侵入堡壘主機(jī)，使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。 2.3 防火墻設(shè)計(jì)屏蔽主機(jī)網(wǎng)關(guān)實(shí)現(xiàn)： 將堡壘主機(jī)與屏蔽路由器組合，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器放置在內(nèi)網(wǎng) 和Internet之間。 路由器上設(shè)置包過濾規(guī)則，使得堡壘主機(jī)成為從外網(wǎng)唯一可直接到達(dá)的主機(jī)，阻塞去往內(nèi) 部系統(tǒng)上其它主機(jī)的信息，同時(shí)只接受來自堡壘主機(jī)的內(nèi)部數(shù)據(jù)包，強(qiáng)制內(nèi)部用戶使用代 理服務(wù)； 屏蔽主機(jī)網(wǎng)關(guān)中的堡壘主機(jī)負(fù)責(zé)為內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)交換提供代理服務(wù)；特點(diǎn)： 確保內(nèi)部網(wǎng)不受未被授權(quán)的外部用戶的攻擊，同樣內(nèi)部網(wǎng)的客戶機(jī)，只能受控制地通過 屏蔽主機(jī)和路由器訪問Internet； 屏蔽主機(jī)網(wǎng)關(guān)中堡壘主機(jī)是唯一能從Internet上直接訪問的內(nèi)部系統(tǒng)，所以有可能受到 攻擊的主機(jī)就只有堡壘主機(jī)本身。但如果允許用戶