6.1 防火墻概述課件

第6章防火墻技術與應用6.1防火墻概述學習目標了解防火墻的基本概念掌握防火墻的主要功能和缺陷深入理解防火墻的工作原理和機制掌握防火墻的分類了解防火墻的基本部署掌握防火墻的基本指標6.1防火墻概述引導案例:隨著計算機信息技術的日益發(fā)展與完善，互聯(lián)網技術的普及和發(fā)展，給教育信息化工作的開展提供了很多的便利，網絡成為教育信息化的重要組成部分。然而，網絡的快速發(fā)展也給黑客提供了更多的危及計算機網絡信息安全的手段和方法，網絡信息安全成為人們關注的焦點。上海市某教委計算機網絡連接形式多樣、終端分布不均勻且具有開放性特點，容易受到攻擊。因此，如何針對該教委建立一個安全、高效的網絡系統(tǒng)，最終為廣大師生提供全面服務，成為了迫切需要解決的問題。6.1防火墻概述本章內容防火墻概述

6.1防火墻的類型

6.2防火墻的體系結構6.3防火墻配置

6.4防火墻產品介紹6.56.1防火墻概述古時候，建造和使用木質結構的房屋，為了在火災發(fā)生時，防止火勢蔓延，人們將堅固的石塊堆砌在房屋周圍形成一道墻作為屏障，這種防護構筑物被稱之為防火墻。

在今天的網絡世界里，人們借用了防火墻這個概念，把隔離在內部網絡和外界網絡之間的一道防御系統(tǒng)稱為防火墻。它在內部網和外部網之間構造一個保護層，并迫使所有的連接和訪問都通過這一保護層，以便接受檢查。只有被授權信息流才能通過保護層，進入內部網，從而保護內部網免受非法入侵。防火墻概述

6.16.1防火墻概述防火墻是內部網絡和外部網絡之間的第一道閘門，被用來保護計算機網絡免受非授權人員的騷擾和黑客的入侵。防火墻在網關位置過濾各種進出網絡的數(shù)據，以保護內部網絡的主機。6.1防火墻概述6.1.1防火墻的概念防火墻（Firewall）——是指隔離在內部網絡與外部網絡之間的一道防御系統(tǒng)，它能擋住來自外部網絡的攻擊和入侵，保障內部網絡的安全。。6.1防火墻概述UF3500/3100防火墻應用

三端口NAT模式交換機路由器集線器防火墻UF3500/3100WWW服務器Mail服務器PCPCFTP服務器6.1防火墻概述在網絡中，硬件防火墻是一種用來加強網絡之間訪問控制的特殊網絡互聯(lián)設備，如路由器、網關等。它對兩個或多個網絡之間傳輸?shù)臄?shù)據包和連接方式按照一定的安全策略進行檢查，以決定網絡之間的通信是否被允許。其中被保護的網絡稱為內部網絡，另一方則稱為外部網絡或公用網絡。它能有效地控制內部網絡與外部網絡之間的訪問及數(shù)據傳送，從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。6.1防火墻概述從實現(xiàn)方式上看，防火墻可以分為硬件防火墻和軟件防火墻兩類：硬件防火墻是通過硬件和軟件的結合來達到隔離內、外部網絡的目的；軟件防火墻是通過純軟件的方式來實現(xiàn)的6.1防火墻概述防火墻可以是硬件6.1防火墻概述防火墻也可以是軟件6.1防火墻概述1.相關概念外部網絡，防火墻之外的網絡，如Internet，默認為風險區(qū)域。內部聯(lián)網(Intranet)，防火墻之內的網絡，一般為局域網，如某個公司或組織的專用網絡，網絡訪問限制在組織內部。軍事緩沖區(qū)域，簡稱DMZ，該區(qū)域是介于內部網絡和外部網絡之間的網絡段，常放置公共服務設備，向外提供信息服務。

6.1防火墻概述吞吐量，在不丟包的情況下單位時間內通過防火墻數(shù)據包的數(shù)量，這是衡量防火墻性能的重要指標。最大連接數(shù)，該數(shù)據更貼近網絡的實際情況，網絡中大多數(shù)連接數(shù)是指所建立的一個虛擬通道。這也是衡量防火墻的一個重要指標。堡壘主機，一種被強化的可以防御進攻的計算機，被暴露于互聯(lián)網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某一個主機上解決問題，從而省時省力，不考慮其他主機的安全目的。6.1防火墻概述包過濾，在網絡層中對數(shù)據包實施有選擇的通過，依據系統(tǒng)事先設定好的過濾規(guī)則，檢查數(shù)據流中的每個數(shù)據包，根據數(shù)據包的源地址、目的地址及端口等信息來確定是否允許數(shù)據包通過。代理服務器，代表內部網絡用戶向外部網絡中的服務器進行連接請求的程序。狀態(tài)檢測技術，狀態(tài)監(jiān)測模塊在不影響網絡安全、正常工作的前提下，采用抽取相關數(shù)據的方法對網絡通信的各個層次實行檢測，并作為安全決策的依據。6.1防火墻概述虛擬專用網，在公用網絡中配置的專用網絡。漏洞，系統(tǒng)中的安全缺陷，漏洞可以導致入侵者獲取信息并導致不正確的訪問。數(shù)據驅動攻擊，入侵者把一些具有破壞性的數(shù)據藏匿在普通數(shù)據中傳送到互聯(lián)網主機上，當這些數(shù)據被激活時就會發(fā)生數(shù)據驅動攻擊。IP地址欺騙，一種突破防的火墻系統(tǒng)的常用方法。入侵者通過偽造的IP發(fā)送地址產生虛假的數(shù)據包，喬裝成來自內部網絡數(shù)據。6.1防火墻概述

在安全區(qū)域劃分的基礎上，通過一種網絡安全設備，控制安全區(qū)域間的通信，就能實現(xiàn)隔離有害通信的作用，進而可以阻斷網絡攻擊。這種安全設備的功能類似于防火使用的墻，因而人們就把這種安全設備俗稱為“防火墻”，它一般安裝在不同的安全區(qū)域邊界處，用于網絡通信安全控制，由專用硬件或軟件系統(tǒng)組成。

6.1防火墻概述

防火墻是由一些軟、硬件組合而成的網絡訪問控制器，它根據一定的安全規(guī)則來控制流過防火墻的網絡包，如禁止或轉發(fā)，能夠屏蔽被保護網絡內部的信息、拓撲結構和運行狀況，從而起到網絡安全屏障的作用。防火墻一般用來將內部網絡與Internet或者其他外部網絡互相隔離，限制網絡互訪，保護內部網絡的安全，如圖所示。

2.防火墻的安全策略6.1防火墻概述

防火墻部署安裝示意圖

6.1防火墻概述

防火墻根據網絡包所提供的信息實現(xiàn)網絡通信訪問控制：如果網絡通信包符合網絡訪問控制策略，就允許該網絡通信包通過防火墻，否則不允許。防火墻的安全策略有兩種類型，即：

(1)只允許符合安全規(guī)則的包通過防火墻，其他通信包禁止。即除非明確允許，否則禁止。

(2)禁止與安全規(guī)則相沖突的包通過防火墻，其他通信包都允許。即除非明確禁止，否則允許。

6.1防火墻概述圖8-2防火墻工作示意圖

6.1防火墻概述防火墻的發(fā)展簡史防火墻發(fā)展史2.第二代防火墻——用戶化的防火墻3.第三代防火墻——建立在通用操作系統(tǒng)上的防火墻

4.第四代防火墻——具有安全操作系統(tǒng)的防火墻1.第一代防火墻——基于路由器的防火墻6.1防火墻概述

防火墻簡單的可以用路由器、交換機實現(xiàn)，復雜的就要用一臺計算機，甚至一組計算機實現(xiàn)。按照TCP/IP協(xié)議的層次，防火墻的訪問控制可以作用于網絡接口層、網絡層、傳輸層、應用層，首先依據各層所包含的信息判斷是否遵循安全規(guī)則，然后控制網絡通信連接，如禁止、允許。防火墻簡化了網絡的安全管理。如果沒有它，網絡中的每個主機都處于直接受攻擊的范圍之內。為了保護主機的安全，就必須在每臺主機上安裝安全軟件，并對每臺主機都要定時檢查和配置更新。

6.1.2防火墻的功能與缺陷6.1防火墻概述1.防火墻的基本功能包過濾這是防火墻的基本功能，現(xiàn)在的防火墻已經有最初的地址、端口判定控制，發(fā)展到判斷通信報文協(xié)議頭的各部分，以及通信協(xié)議的應用層命令、內容、用戶特征、用戶規(guī)則甚至狀態(tài)監(jiān)測等。將防火墻設置為只有預先被允許的服務和用戶才能通過防火墻，禁止未授權的用戶訪問受保護的網絡，降低被保護網絡受非法攻擊的風險。

6.1防火墻概述限制網絡訪問。防火墻只允許外部網絡訪問受保護網絡的指定主機或網絡服務，通常受保護網絡中的Mail、FTP、WWW服務器等可讓外部網絡訪問，而其他類型的訪問則予以禁止。防火墻也用來限制受保護網絡中的主機訪問外部網絡的某些服務，例如某些不良網址。6.1防火墻概述網絡訪問審計和預警。審計和預警是防火墻的在配置好相關參數(shù)后作出的丟棄、拒絕或接受的重要措施，防火墻的審計和預警機制在防火墻體系中很重要。防火墻是外部網絡與受保護網絡之間的惟一網絡通道，可以記錄所有通過它的訪問并提供網絡使用情況的統(tǒng)計數(shù)據。依據防火墻的日志，可以掌握網絡的使用情況，例如網絡通信帶寬和訪問外部網絡的服務數(shù)據。防火墻的日志也可用于入侵檢測和網絡攻擊取證。6.1防火墻概述由于網絡上的數(shù)據流量是比較大的，這里主要有兩種解決方式：將日志掛接在內網的一臺專門存放日志的服務器上；將日志直接存放在防火墻本身的服務器上。6.1防火墻概述遠程管理，管理界面一般完成對防火墻的配置、管理和監(jiān)控等工作。管理界面的設計直接關系到防火墻的易用性和安全性。目前防火墻主要有兩種遠程管理界面：Web界面和GUI界面。6.1防火墻概述NAT技術，該技術能夠透明的對所有內部地址做轉換，使外部網絡無法了解內部網絡的內部結構，同時使用NAT的網絡與外部網絡的連接只能有內部網絡發(fā)起，這極大的提高了內部網絡的安全性。同時NAT技術另外一個顯著的用途是解決了IP地址匱乏的問題。6.1防火墻概述代理透明代理，主要是在內網主機需要訪問外網主機時，不需要做任何設置，完全意識不到防火墻的存在而完成內外網的通信，但其基本原理是防火墻截取內網主機與外網的通信，由防火墻本身完成與外網的通信，然后把結果傳回給內網主機。傳統(tǒng)代理，與透明代理類似，不同的是它需要在客戶端設置代理服務器，代理可以實現(xiàn)較高的安全性，不足之處是響應緩慢。6.1防火墻概述MAC與IP地址綁定，主要用于防止受控的內部用戶通過更換IP地址訪問外網，因其實現(xiàn)簡單，內部只需要兩個命令就可以實現(xiàn)，所以絕大多數(shù)防火墻都提供了該項功能。6.1防火墻概述流量控制和統(tǒng)計分析、流量計費流量控制可以分為基于IP地址的控制和基于用戶的控制。防火墻可以控制網絡帶寬的分配使用，實現(xiàn)部分網絡質量服務(QoS)保障。流量統(tǒng)計是建立在流量控制基礎之上的，一般防火墻對基于IP、服務、時間、協(xié)議等進行統(tǒng)計，并可以與管理界面實現(xiàn)掛接，實時或一統(tǒng)計報表的形式輸出結果。6.1防火墻概述URL級信息過濾通常是代理模塊的一部分，許多防火墻將其功能單獨的提取出來，但是實現(xiàn)是跟代理模塊結合起來的。它用來控制內部網絡對某些站點的訪問，如禁止某些站點、禁止訪問站點下的某些目錄、只允許訪問某些站點或其下目錄等。6.1防火墻概述2.防火墻缺陷盡管防火墻有許多防范功能，但它也有一些力不能及的地方，因為防火墻只能對通過它的網絡通信包進行訪問控制，所以對未經過它的網絡通信就無能為力了。例如，如果允許從內部網絡直接撥號訪問外部網絡，則防火墻就失效了，攻擊者通過用戶撥號連接直接訪問內部網絡，繞過防火墻控制，也能造成潛在的攻擊途徑。6.1防火墻概述防火墻可以阻斷攻擊，但是不能消滅攻擊源

互聯(lián)網上的病毒、木馬、惡意試探等造成的攻擊行為絡繹不絕。如果防火墻的安全策略設置得當，就可以阻斷這類攻擊，但是不能夠清除攻擊源。6.1防火墻概述防火墻不能抵抗最新的未設置策略的高級漏洞

如同殺毒軟件，總是先出現(xiàn)病毒，殺毒軟件經過分析特征代碼以后，將特征代碼加入到特征庫中才能給將其查殺。防火墻的各種策略也是在該攻擊方式經過專家分析后給出其特征而設置的。也就是說防火墻的安全性具有滯后性。6.1防火墻概述防火墻并發(fā)連接數(shù)限制容易導致?lián)砣蛘咭绯?/p>

由于需要判斷并處理流經防火墻的每一個數(shù)據包，所以防火墻在某些流量大，并發(fā)請求多的情況下，很容易造成擁塞，稱為整個網絡性能影響的瓶頸。而當防火墻溢出的時候，整個防線就如同虛設，原本被禁止的連接也能夠通過。6.1防火墻概述防火墻對服務器合法開放的端口的攻擊大多無法阻止；

攻擊者利用服務器提供的服務進行缺陷攻擊，由于這些行為在防火墻看來是“合理合法”的，因此會被誤判。6.1防火墻概述防火墻對待內部主動發(fā)起連接的攻擊一般無法阻止外緊內松是一般局域網的特點，或許一道嚴密防守的防火墻內部網絡是一片混亂的也是可能的，通過發(fā)送帶有木馬的URL等方式，然后由感染木馬的主機主動對攻擊者連接。另外防火墻對內部主機間的攻擊行為，愛莫能助。6.1防火墻概述防火墻本身也會出現(xiàn)問題和受到攻擊

防火墻也是一個OS，也有其硬件和如圖案件系統(tǒng)，因此也就不可避免的會有BUG，其本身也會有軟硬件方面的故障。6.1防火墻概述防火墻不能防范人為因素的攻擊；

防火墻不能防止內奸或用戶誤操作造成的威脅，防火墻也不能防止用戶由于口令泄露而遭受攻擊。6.1防火墻概述防火墻不能防止數(shù)據驅動式的攻擊。

有些表面看起來無害的數(shù)據通過郵件或復制到內部網的主機上被執(zhí)行，就會發(fā)生數(shù)據驅動式攻擊。如一種數(shù)據驅動式的攻擊造成主機修改與系統(tǒng)安全有關的配置文件，從而使入侵者下次更加容易攻擊該系統(tǒng)。6.1防火墻概述

除此之外，防火墻還有一些脆弱點，例如:

*防火墻不能完全防止感染病毒的軟件或文件傳輸。防火墻是網絡通信的瓶頸，因為已有的病毒、操作系統(tǒng)以及加密和壓縮二進制文件的種類太多，以致于不能指望防火墻逐個掃描每個文件查找病毒，而只能在每臺主機上安裝反病毒軟件。

*防火墻不能完全防止后門攻擊。防火墻是粗粒度的網絡訪問控制，某些基于網絡隱蔽通道的后門能繞過防火墻的控制，例如httptunnel等。

6.1防火墻概述1、NetScreen208FirewallNetScreen公司推出的一種新型的網絡安全硬件產品。內置ASIC技術，其安全設備具有低延時、高效的IPSEC加密和防火墻功能