防火墻技術介紹課件

防火墻的定義防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，實現(xiàn)網(wǎng)絡的安全保護，以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻本身具有較強的抗攻擊能力，它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施。圖8.1為防火墻示意圖。防火墻的基本概念防火墻的定義防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障圖1防火墻示意圖返回本節(jié)圖1防火墻示意圖返回本節(jié)防火墻的發(fā)展簡史 第一代防火墻：采用了包過濾（PacketFilter）技術。第二、三代防火墻：1989年，推出了電路層防火墻，和應用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開發(fā)出了基于動態(tài)包過濾技術的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應代理技術，可以稱之為第五代防火墻。防火墻的發(fā)展簡史 第一代防火墻：采用了包過濾（Packet圖2防火墻技術的簡單發(fā)展歷史返回本節(jié)圖2防火墻技術的簡單發(fā)展歷史返回本節(jié)設置防火墻的目的和功能 （1）防火墻是網(wǎng)絡安全的屏障（2）防火墻可以強化網(wǎng)絡安全策略（3）對網(wǎng)絡存取和訪問進行監(jiān)控審計（4）防止內(nèi)部信息的外泄返回本節(jié)設置防火墻的目的和功能 （1）防火墻是網(wǎng)絡安全的屏障返回本節(jié)防火墻的局限性 （1）防火墻防外不防內(nèi)。（2）防火墻難于管理和配置，易造成安全漏洞。（3）很難為用戶在防火墻內(nèi)外提供一致的安全策略。（4）防火墻只實現(xiàn)了粗粒度的訪問控制。返回本節(jié)防火墻的局限性 （1）防火墻防外不防內(nèi)。返回本節(jié)防火墻技術發(fā)展動態(tài)和趨勢 （1）優(yōu)良的性能（2）可擴展的結(jié)構(gòu)和功能（3）簡化的安裝與管理（4）主動過濾（5）防病毒與防黑客返回本節(jié)防火墻技術發(fā)展動態(tài)和趨勢 （1）優(yōu)良的性能返回本節(jié)防火墻的技術種類 1．包過濾防火墻2．代理防火墻3．狀態(tài)監(jiān)視器防火墻4．復合式防火墻防火墻技術 防火墻的技術種類 1．包過濾防火墻防火墻技術 包過濾防火墻包過濾防火墻的工作原理采用這種技術的防火墻產(chǎn)品，通過在網(wǎng)絡中的適當位置對數(shù)據(jù)包進行過濾，根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進入到內(nèi)部網(wǎng)絡，而將不合乎邏輯的數(shù)據(jù)包加以刪除。包過濾防火墻包過濾防火墻的工作原理包過濾防火墻（1）數(shù)據(jù)包過濾技術的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。

（2）包過濾的優(yōu)點：不用改動應用程序、一個過濾路由器能協(xié)助保護整個網(wǎng)絡、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。

包過濾防火墻（1）數(shù)據(jù)包過濾技術的發(fā)展：靜態(tài)包過濾、動態(tài)包過（3）包過濾的缺點：不能徹底防止地址欺騙；一些應用協(xié)議不適合于數(shù)據(jù)包過濾（如UDP協(xié)議）；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。

（3）包過濾的缺點：不能徹底防止地址欺騙；一些應用協(xié)議不適合圖3包過濾處理圖3包過濾處理圖4靜態(tài)包過濾防火墻圖4靜態(tài)包過濾防火墻圖5動態(tài)包過濾防火墻圖5動態(tài)包過濾防火墻（1）代理防火墻的原理：代理防火墻運行在兩個網(wǎng)絡之間，它對于客戶來說像是一臺真的服務器一樣，而對于外界的服務器來說，它又是一臺客戶機。當代理服務器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務器會像一個客戶一樣，去那個站點取回所需信息再轉(zhuǎn)發(fā)給客戶。代理防火墻（1）代理防火墻的原理：代理防火墻代理技術的優(yōu)點1）代理易于配置。

2）代理能生成各項記錄。

3）代理能靈活、完全地控制進出流量、內(nèi)容。

4）代理能過濾數(shù)據(jù)內(nèi)容。

5）代理能為用戶提供透明的加密機制。6）代理可以方便地與其他安全手段集成。

代理技術的優(yōu)點代理技術的缺點1）代理速度較路由器慢。2）代理對用戶不透明。

3）對于每項服務代理可能要求不同的服務器。

4）代理服務不能保證免受所有協(xié)議弱點的限制。

5）代理不能改進底層協(xié)議的安全性。

代理技術的缺點代理的工作方式代理的工作方式兩種防火墻技術

返回本節(jié)兩種防火墻技術返回本節(jié)狀態(tài)監(jiān)視器防火墻（1）狀態(tài)監(jiān)視器防火墻的工作原理這種防火墻安全特性非常好，它采用了一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后指定安全決策的參考。狀態(tài)監(jiān)視器防火墻（1）狀態(tài)監(jiān)視器防火墻的工作原理（2）狀態(tài)監(jiān)視器防火墻的優(yōu)缺點狀態(tài)監(jiān)視器的優(yōu)點：檢測模塊支持多種協(xié)議和應用程序，并可以很容易地實現(xiàn)應用和服務的擴充。它會監(jiān)測RPC和UDP之類的端口信息，而包過濾和代理網(wǎng)關都不支持此類端口。性能堅固狀態(tài)監(jiān)視器的缺點：配置非常復雜。會降低網(wǎng)絡的速度。（2）狀態(tài)監(jiān)視器防火墻的優(yōu)缺點4．復合式防火墻常見是代理服務器和狀態(tài)分析技術的組合具有對一切連接嘗試進行過濾的功能；提取和管理多種狀態(tài)信息的功能；智能化做出安全控制和流量控制的決策；提供高性能的服務和靈活的適應性；具有網(wǎng)絡內(nèi)外完全透明的特性。4．復合式防火墻常見是代理服務器和狀態(tài)分析技術的組合防火墻的優(yōu)缺點優(yōu)點：1、保護網(wǎng)絡中脆弱的服務2、實現(xiàn)網(wǎng)絡安全性監(jiān)視和實時報警3、增強保密性和強化私有權4、實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換5、實現(xiàn)安全性失效和自動故障恢復缺點：1、不能防范惡毒的知情者（內(nèi)網(wǎng)用戶和內(nèi)外串通）2、不能防范不經(jīng)過它的連接3、不能防備全部的威脅，特別是新產(chǎn)生的威脅4、不能有效地防范病毒的攻擊防火墻的優(yōu)缺點優(yōu)點：現(xiàn)代防火墻的安全技術及實現(xiàn)方式第四代防火墻技術第四代防火墻，具有安全操作系統(tǒng)的防火墻產(chǎn)品。1．雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務器的安全保護。

現(xiàn)代防火墻的安全技術及實現(xiàn)方式第四代防火墻技術2．透明的訪問方式以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火墻利用了透明的代理系統(tǒng)技術，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。3．靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。第四代防火墻采用了兩種代理機制，一種用于代理從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的連接，另一種用于代理從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的連接。前者采用網(wǎng)絡地址轉(zhuǎn)換（NAT）技術來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術來解決。2．透明的訪問方式4．多級的過濾技術為保證系統(tǒng)的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用級網(wǎng)關一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務；在電路網(wǎng)關一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。5．網(wǎng)絡地址轉(zhuǎn)換技術（NAT）第四代防火墻利用NAT技術能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡無法了解內(nèi)部網(wǎng)絡的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡使用自己編的IP地址和專用網(wǎng)絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。4．多級的過濾技術6．Internet網(wǎng)關技術由于是直接串連在網(wǎng)絡之中，第四代防火墻必須支持用戶在Internet互連的所有服務，同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器（包括FTP、Finger、mail、Ident、News、WWW等）來實現(xiàn)網(wǎng)關功能。為確保服務器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用（chroot）”作物理上的隔離。7、安全服務器網(wǎng)絡（SSN）利用保護策略對服務器實施保護，利用網(wǎng)卡將對外服務器作獨立網(wǎng)絡處理，與內(nèi)部網(wǎng)關安全隔離。6．Internet網(wǎng)關技術8．用戶鑒別與加密為了降低防火墻產(chǎn)品在Telnet、FTP等服務和遠程管理上的安全風險，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。9．用戶定制服務為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可利用這些支持，方便設置。8．用戶鑒別與加密10．審計和告警第四代防火墻產(chǎn)品的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。10．審計和告警防火墻的基本組成結(jié)構(gòu)

1．屏蔽路由器

2．雙宿堡壘主機

3．屏蔽主機防火墻

4．屏蔽子網(wǎng)防火墻防火墻的基本組成結(jié)構(gòu) 1．屏蔽路由器

1．屏蔽路由器又稱包過濾路由器，在一般路由器的基礎上增加了一些新的安全控制功能，是一個檢查通過它的數(shù)據(jù)包的路由器。屏蔽路由器示意圖1．屏蔽路由器又稱包過濾路由器，在一般路由器的基礎上增加了

2．雙宿堡壘主機又稱應用型防火墻，在運行防火墻軟件的堡壘主機上運行代理服務器。雙宿堡壘主機示意圖2．雙宿堡壘主機又稱應用型防火墻，在運行防火墻軟件的堡壘主3．屏蔽主機防火墻屏蔽主機防火墻由包過濾路由器和堡壘主機（BastionHost）組成，它所提供的安全性能要比包過濾防火墻系統(tǒng)要強，因為它實現(xiàn)了網(wǎng)絡層安全（包過濾）和應用層安全（代理服務）的結(jié)合。當入侵者在破壞內(nèi)部網(wǎng)絡的安全性之前，必須首先突破這兩種不同的安全系統(tǒng)。屏蔽主機網(wǎng)關示意圖3．屏蔽主機防火墻屏蔽主機防火墻由包過濾路由器和堡壘主機（B原理和實現(xiàn)過程：堡壘主機位于內(nèi)部網(wǎng)絡上，而包過濾路由器則放置在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間。在路由器上設置相應的規(guī)則，使得外部系統(tǒng)只能訪問堡壘主機。由于內(nèi)部主機與堡壘主機處于同一個網(wǎng)絡，內(nèi)部系統(tǒng)是否允許直接訪問外部網(wǎng)絡，或者是要求使用堡壘主機上的代理服務來訪問外部網(wǎng)絡完全由企業(yè)的安全策略來決定。對路由器的過濾規(guī)則進行配置，使得其只接收來自堡壘主機的內(nèi)部數(shù)據(jù)包，就可以強制內(nèi)部用戶使用代理服務，從而加強內(nèi)部用戶對外部Internet訪問的管理。原理和實現(xiàn)過程：

4．屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻利用兩臺屏蔽路由器把子網(wǎng)與內(nèi)外部網(wǎng)絡隔離開，堡壘主機、信息服務器、Modem組，以及其他公用服務器放在該子網(wǎng)中，這個子網(wǎng)稱為“停火區(qū)”或“非軍事區(qū)”（DeMilitarisedZone，DMZ）屏蔽子網(wǎng)防火墻示意圖4．屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻利用兩臺屏蔽路由器把子網(wǎng)與防火墻的物理位置1、服務器置于防火墻之內(nèi)2、服務器置于防火墻之外3、服務器置于防火墻之上防火墻的物理位置1、服務器置于防火墻之內(nèi)

內(nèi)部網(wǎng)Web

服務器防火墻Internet1、服務器置于防火墻之內(nèi)如圖所示，將Web服務器裝在防火墻內(nèi)的好處是它得到了安全保護，不容易被黑客闖入。

內(nèi)部網(wǎng)Web防火墻Internet1、服務器置于防火墻

內(nèi)部網(wǎng)Web

服務器防火墻Internet