第06講 防火墻技術(shù)

1、2024/3/21,主講 楊照峰,E-mail：yiyangxf@sohu.com,計算機網(wǎng)絡(luò)與信息安全技術(shù),2024/3/21,第6講 防火墻技術(shù),2024/3/21,FireWall,在網(wǎng)絡(luò)安全技術(shù)中，防火墻是第一道防御屏障。一般它位于路由器之后，為進出網(wǎng)絡(luò)的連接提供安全訪問控制。本節(jié)通過以下內(nèi)容介紹防火墻技術(shù)的原理和應(yīng)用。防火墻基本概念防火墻的核心技術(shù)防火墻的體系結(jié)構(gòu)防火墻的分類,2024/3/21,一、防火墻基本

2、概念,防火墻的基本知識防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，目的是保護網(wǎng)絡(luò)不被他人侵擾。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。通常，防火墻就是位于內(nèi)部網(wǎng)或Web站點與因特網(wǎng)之間的一個路由器或一臺計算機，又稱為堡壘主機。其目的如同一個安全門，為門內(nèi)的部門提供安全，控制那些可被允許出入該受保護環(huán)境的人或物。就像工作在前門的安全

3、衛(wèi)士，控制并檢查站點的訪問者。,2024/3/21,一、防火墻基本概念（續(xù)）,防火墻是由管理員為保護自己的網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又允許與因特網(wǎng)聯(lián)接而發(fā)展起來的。從網(wǎng)際角度，防火墻可以看成是安裝在兩個網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計劃和安全策略中的定義來保護其后面的網(wǎng)絡(luò)。由軟件和硬件組成的防火墻應(yīng)該具有以下功能。（1）所有進出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻。（2）所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權(quán)。（3）理論上說

4、，防火墻是穿不透的。,2024/3/21,一、防火墻基本概念（續(xù)）,內(nèi)部網(wǎng)需要防范的三種攻擊有：間諜：試圖偷走敏感信息的黑客、入侵者和闖入者。盜竊：盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間和CPU資源等。破壞系統(tǒng)：通過路由器或主機／服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng) （外部網(wǎng)）和服務(wù)器。這里，防火墻的作用是保護Web站點和公司的內(nèi)部網(wǎng)，使之免遭因特網(wǎng)上各種危險的侵犯。,2024/3/21,一、防火墻基本概念（續(xù)

5、）,從邏輯上講，防火墻是分離器、限制器和分析器。從物理角度看，各站點防火墻物理實現(xiàn)的方式有所不同。通常防火墻是一組硬件設(shè)備，即路由器、主計算機或者是路由器、計算機和配有適當軟件的網(wǎng)絡(luò)的多種組合。,,2024/3/21,防火墻在網(wǎng)絡(luò)中的位置,安裝防火墻以前的網(wǎng)絡(luò),2024/3/21,防火墻在網(wǎng)絡(luò)中的位置,安裝防火墻后的網(wǎng)絡(luò),2024/3/21,防火墻在網(wǎng)絡(luò)中的位置,DMZ區(qū)(demilitarized zone，也稱非軍事區(qū))

6、 DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。 通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。這樣，不管是外部還是內(nèi)部與對

7、外服務(wù)器交換信息數(shù)據(jù)也要通過防火墻，實現(xiàn)了真正意義上的保護。,2024/3/21,一、防火墻基本概念（續(xù)）,防火墻的基本功能（1）防火墻能夠強化安全策略（2）防火墻能有效地記錄因特網(wǎng)上的活動（3）防火墻限制暴露用戶點（4）防火墻是一個安全策略的檢查站附加功能：NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換VPN（Virtual Personal Network ）虛擬專用網(wǎng)RM（Rou

8、te Management）路由管理,2024/3/21,一、防火墻基本概念（續(xù)）,防火墻的不足之處（1）不能防范惡意的知情者（2）防火墻不能防范不通過它的連接（3）防火墻不能防備全部的威脅（4）防火墻不能防范病毒,2024/3/21,二、防火墻的核心技術(shù),包過濾代理服務(wù)狀態(tài)監(jiān)視,2024/3/21,1.包過濾,包過濾是一種保安機制，它控制哪些數(shù)據(jù)包可以進出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。高層IP（因特網(wǎng)協(xié)議）網(wǎng)絡(luò)的概念:

9、一個文件要穿過網(wǎng)絡(luò)，必須將文件分成小塊，每小塊文件單獨傳輸。把文件分成小塊的做法主要是為了讓多個系統(tǒng)共享網(wǎng)絡(luò)，每個系統(tǒng)可以依次發(fā)送文件塊。在IP網(wǎng)絡(luò)中，這些小塊被稱為包。所有的信息傳輸都是以包的方式來實施的。,2024/3/21,1.包過濾（續(xù)）,每個數(shù)據(jù)包都包含有特定信息的一組報頭，其主要信息是：（1）IP協(xié)議類型（TCP、UDP，ICMP等）；（2）IP源地址；（3）IP目標地址；（4）IP選擇域的內(nèi)容；（5）TCP

10、或UDP源端口號；（6）TCP或UDP目標端口號；（7）ICMP消息類型。路由器也會得到一些在數(shù)據(jù)包頭部信息種沒有得到的關(guān)于數(shù)據(jù)包得其他信息。,2024/3/21,1.包過濾（續(xù)）,數(shù)據(jù)包的封裝,,2024/3/21,包過濾操作流程圖,,1.包過濾（續(xù)）,2024/3/21,1.包過濾（續(xù)）,包過濾是如何工作的 包過濾通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許

11、該數(shù)據(jù)包通過。包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的判據(jù)：（1）將包的目的地址作為判據(jù)；（2）將包的源地址作為判據(jù)；（3）將包的傳送協(xié)議作為判據(jù)。,2024/3/21,數(shù)據(jù)包過濾特性,2024/3/21,1.包過濾（續(xù)）,包過濾系統(tǒng)只能讓我們進行類似以下情況的操作：（1）不讓任何用戶從外部網(wǎng)用Telnet登錄；（2）允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；（3）只允許某臺機器通過NNT

12、P往內(nèi)部網(wǎng)發(fā)新聞。包過濾不能允許我們進行如下的操作： （1）允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進行這種操作； （2）允許用戶傳送一些文件而不允許用戶傳送其它文件。,2024/3/21,1.包過濾（續(xù)）,包過濾的優(yōu)點包過濾方式有許多優(yōu)點，而其主要優(yōu)點之一是僅用一個放置在重要位置上的包過濾路由器就可保護整個網(wǎng)絡(luò)。如果我們的站點與因特網(wǎng)間只有一臺路由器，那么不管站點規(guī)模有多大，只要在這臺路

13、由器上設(shè)置合適的包過濾，我們的站點就可獲得很好的網(wǎng)絡(luò)安全保護。包過濾的缺點 （1）在機器中配置包過濾規(guī)則比較困難；（2）對系統(tǒng)中的包過濾規(guī)則的配置進行測試也較麻煩； （3）許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要找一個比較完整的包過濾產(chǎn)品比較困難。,2024/3/21,2.代理服務(wù),代理服務(wù)器接收客戶請求后，會檢查并驗證其合法性。代理服務(wù)的條件是具有訪問因特網(wǎng)能力的主機才可以作為那些無權(quán)訪問因特網(wǎng)的主機的代理，

14、這樣使得一些不能訪問因特網(wǎng)的主機通過代理服務(wù)也可以完成訪問因特網(wǎng)的工作。代理服務(wù)是在雙重宿主主機或堡壘主機上運行一個具有特殊協(xié)議或一組協(xié)議。使一些僅能與內(nèi)部用戶交談的主機同樣也可以與外界交談，這些用戶的客戶程序通過與該代理服務(wù)器交談來代替直接與外部因特網(wǎng)中的服務(wù)器的“真正的”交談。代理服務(wù)器判斷從客戶端來的請求并決定哪些請求允許傳送而哪些應(yīng)被拒絕。當某個請求被允許時，代理服務(wù)器就代表客戶與真正的服務(wù)器進行交談，并將從客戶端來的請求

15、傳送給真實服務(wù)器，將真實服務(wù)器的回答傳送給客戶。,2024/3/21,2.代理服務(wù)（續(xù)）,,代理的實現(xiàn)過程,,,2024/3/21,2.代理服務(wù)（續(xù)）,代理服務(wù)的工作方法代理工作的細節(jié)對每一種服務(wù)是不同的，代理服務(wù)在服務(wù)器上要求運行合適的代理服務(wù)器軟件。在客戶端可以有以下不同的方法。（1）定制客戶軟件。 （2）定制客戶過程。,2024/3/21,2.代理服務(wù)（續(xù)）,用于因特網(wǎng)服務(wù)的代理特性因特網(wǎng)上的主要服務(wù)功能有電子郵件

16、E-mail．簡單郵件傳輸協(xié)議SMTP、郵局協(xié)議POP、文件傳輸FTP、遠程登錄Telnet、存儲轉(zhuǎn)發(fā)協(xié)議NNTP、萬維網(wǎng)WWW、域名服務(wù)DNS等。 1．電子郵件（E-mail） （1）一個服務(wù)器，用來向外部主機發(fā)送郵件或從外部主機接收郵件。 （2）發(fā)信代理，用于將郵件正確地放入本地主機郵箱中。 （3）用戶代理，用于讓收信人閱讀郵件并編排出站郵件。,2024/3/21,2.代理服務(wù)（續(xù)）,2．簡單郵件

17、傳輸協(xié)議（SMTP）的代理特點因為SMTP是一個存儲轉(zhuǎn)發(fā)協(xié)議，所以它特別適合于進行代理。由于任何一個SMTP服務(wù)器都有可能為其它站點進行郵件轉(zhuǎn)發(fā)，因而很少將它設(shè)置成一個單獨的代理。大多數(shù)站點將輸入的SMTP連接到一臺安全運行SMTP服務(wù)的堡壘主機上，該堡壘主機就是一個代理。3．郵局協(xié)議（POP）的代理特點郵局協(xié)議（POP）對于代理系統(tǒng)來說是非常簡單的，因為它采用單個連接。內(nèi)置的支持代理的POP客戶程序還很少，主要原因是P

18、OP多用于局域網(wǎng)，而很少用于因特網(wǎng)。,2024/3/21,2.代理服務(wù)（續(xù)）,4．文件傳輸FTP在開始使用一個FTP連接時，客戶程序首先為自己分配兩個大于1023的TCP端口，它使用第一個端口作為命令通道端口與服務(wù)器連接，然后發(fā)出端口命令，告訴服務(wù)器它的第二個作為數(shù)據(jù)通道的端口號，這樣服務(wù)器就能打開數(shù)據(jù)通道了。大多數(shù)FTP服務(wù)器（特別是那些用在因特網(wǎng)上的主要匿名FTP站點）和許多FTP客戶程序都支持一種允許客戶程序打開命令通道和數(shù)

19、據(jù)通道來連接到FTP服務(wù)器的方式，這種方式被稱為“反向方式”。在使用反向方式時，一個FTP客戶程序需要分配兩個TCP端口供其使用。它使用第一個TCP端口與FTP服務(wù)器連接，但客戶程序通過反向方式命令代替原來的端口命令來告訴服務(wù)器客戶程序的第二個TCP端口。,2024/3/21,2.代理服務(wù)（續(xù)）,這樣就能使服務(wù)器為本身的數(shù)據(jù)通道分配第二個TCP端口，并通知客戶程序所分配的那個端口號。這時，客戶程序就從它的數(shù)據(jù)通道的端口連接到服務(wù)器

20、剛才通知它的那個端口上。 5．遠程登錄（Telnet）代理系統(tǒng)能夠很好地支持Telnet。 6．存儲轉(zhuǎn)發(fā)協(xié)議（NNTP）NNTP是一個存儲轉(zhuǎn)發(fā)的協(xié)議，有能力進行自己的代理。它作為一個簡單的單個連接協(xié)議很容易實現(xiàn)代理。,2024/3/21,2.代理服務(wù)（續(xù)）,7．萬維網(wǎng)（WWW）各種HTTP客戶程序（如Netscape Navigator或因特網(wǎng)Explorer等）都支持代理的方案。 8．域名服務(wù)（DNS）

21、DNS具有這樣的結(jié)構(gòu)：可以使服務(wù)器充當客戶程序的代理。利用DNS能夠轉(zhuǎn)發(fā)自身的特點，可以使一個DNS服務(wù)器成為另一個DNS服務(wù)器的代理。在真正的實現(xiàn)時，大多數(shù)情況可以修改DNS庫來使用修改的客戶程序代理。在不支持動態(tài)連接的機器上，使用DNS的修改客戶程序的代理需要重新編譯網(wǎng)絡(luò)中使用的每個程序。,2024/3/21,2.代理服務(wù)（續(xù)）,代理服務(wù)的優(yōu)缺點1．代理服務(wù)的優(yōu)點（1）代理服務(wù)允許用戶“直接”訪問因特網(wǎng)（2）代理服務(wù)

22、適合于做日志 2．代理服務(wù)的缺點（1）代理服務(wù)落后于非代理服務(wù)（2）每個代理服務(wù)要求不同的服務(wù)器（3）代理服務(wù)一般要求對客戶或程序進行修改（4）代理服務(wù)對某些服務(wù)來說是不合適的（5）代理服務(wù)不能保護你不受協(xié)議本身缺點的限制,2024/3/21,3.狀態(tài)檢測,狀態(tài)檢測技術(shù)是防火墻近幾年才應(yīng)用的新技術(shù)。傳統(tǒng)的包過濾防火墻只是通過檢測IP包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，狀態(tài)檢測技術(shù)采用的是一種基于連接的狀

23、態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，狀態(tài)檢測技術(shù)具有更好的靈活性和安全性。,2024/3/21,3.狀態(tài)檢測（續(xù)）,工作在TCP/IP各層，檢查由防火墻轉(zhuǎn)發(fā)的包，并創(chuàng)建相應(yīng)的結(jié)構(gòu)記錄連接的狀態(tài)。它的檢查項包括鏈路

24、層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層的各種信息，并根據(jù)規(guī)則表或狀態(tài)表來決定是否允許轉(zhuǎn)發(fā)包通過。,2024/3/21,3.狀態(tài)檢測（續(xù)）,通信信息：即所有7層協(xié)議的當前信息。 防火墻的檢測模塊位于操作系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層之下，能在數(shù)據(jù)包到達網(wǎng)關(guān)操作系統(tǒng)之前對它們進行分析。防火墻先在低協(xié)議層上檢查數(shù)據(jù)包是否滿足企業(yè)的安全策略，對于滿足的數(shù)據(jù)包，再從更高協(xié)議層上進行分析。它驗證數(shù)據(jù)的源地址、目的地址和端口號、協(xié)議類型、應(yīng)用信息等多層的標志，因此

25、具有更全面的安全性。,2024/3/21,3.狀態(tài)檢測（續(xù)）,通信狀態(tài)：即以前的通信信息。 對于簡單的包過濾防火墻，如果要允許FTP通過，就必須作出讓步而打開許多端口，這樣就降低了安全性。狀態(tài)檢測防火墻在狀態(tài)表中保存以前的通信信息，記錄從受保護網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，例如FTP請求的服務(wù)器地址和端口、客戶端地址和為滿足此次FTP臨時打開的端口，然后，防火墻根據(jù)該表內(nèi)容對返回受保護網(wǎng)絡(luò)的數(shù)據(jù)包進行分析判斷，這樣，只有響應(yīng)受保護

26、網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。這里，對于UDP或者RPC等無連接的協(xié)議，檢測模塊可創(chuàng)建虛會話信息用來進行跟蹤。,2024/3/21,3.狀態(tài)檢測（續(xù)）,應(yīng)用狀態(tài)：即其他相關(guān)應(yīng)用的信息。 狀態(tài)檢測模塊能夠理解并學習各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用，它比代理服務(wù)器支持的協(xié)議和應(yīng)用要多得多；并且，它能從應(yīng)用程序中收集狀態(tài)信息存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測策略。例如，已經(jīng)通過防火墻認證的用戶可以通過防火墻訪問其他授權(quán)的服務(wù)。,2

27、024/3/21,3.狀態(tài)檢測（續(xù)）,操作信息：即在數(shù)據(jù)包中能執(zhí)行邏輯或數(shù)學運算的信息。 狀態(tài)監(jiān)測技術(shù)，采用強大的面向?qū)ο蟮姆椒?，基于通信信息、通信狀態(tài)、應(yīng)用狀態(tài)等多方面因素，利用靈活的表達式形式，結(jié)合安全規(guī)則、應(yīng)用識別知識、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)，構(gòu)造更復雜的、更靈活的、滿足用戶特定安全要求的策略規(guī)則,2024/3/21,狀態(tài)檢測原理,2024/3/21,3.狀態(tài)檢測（續(xù)）,優(yōu)點安全強度高配置靈活缺點：速度慢管理復

28、雜,2024/3/21,三、防火墻的體系結(jié)構(gòu),防火墻的體系結(jié)構(gòu)一般有以下幾種:1）雙重宿主主機體系結(jié)構(gòu)。2）屏蔽主機體系結(jié)構(gòu)。3）屏蔽子網(wǎng)體系結(jié)構(gòu)。,2024/3/21,三、防火墻的體系結(jié)構(gòu),1、雙重宿主主機體系結(jié)構(gòu) 雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主機計算機而構(gòu)筑的，該計算機至少有兩個網(wǎng)絡(luò)接口?？沙洚斉c這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。 實現(xiàn)雙重宿主主機的防火墻體系結(jié)構(gòu)禁止

29、這種發(fā)送功能。因而，IP數(shù)據(jù)包從一個網(wǎng)絡(luò)（例如，因特網(wǎng)）并不是直接發(fā)送到其他網(wǎng)絡(luò)（例如，內(nèi)部的、被保護的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。,2024/3/21,2、屏蔽主機體系結(jié)構(gòu),屏蔽主機體系結(jié)構(gòu)使用一個單獨的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機的服務(wù)。,堡壘主機是互聯(lián)網(wǎng)上的主機能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的

30、橋梁,,數(shù)據(jù)包過濾也許堡壘主機開放可允許的連接到外部世界,三、防火墻的體系結(jié)構(gòu),2024/3/21,3、屏蔽子網(wǎng)體系結(jié)構(gòu),屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開。,三、防火墻的體系結(jié)構(gòu),2024/3/21,最簡單的形式為：兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。 一個位于周邊網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Inte

31、rnet）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”。,3、屏蔽子網(wǎng)體系結(jié)構(gòu)(續(xù)),侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，它將仍然必須通過內(nèi)部路由器。,三、防火墻的體系結(jié)構(gòu),2024/3/21,軟件防火墻和硬件防火墻以及芯片級防火墻。,1、按物理實體分類,,X86架構(gòu)（PC架構(gòu)工控機）,NP架構(gòu)（網(wǎng)絡(luò)處理器）,ASIC架構(gòu)（專用集成電路）,,,,至少應(yīng)具備三個端口，分別接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)（非軍事區(qū)）,

32、,,四、防火墻的類型與特點,2024/3/21,防火墻的工作方式主要分包過濾型和應(yīng)用代理型兩種。,2、按工作方式分類,1）包過濾型,包過濾（Packet filtering）型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。,,四、防火墻的類型與特點,2024/3/21,2、按工作方式分類

33、（續(xù)）,2）應(yīng)用代理型,應(yīng)用代理型防火墻(Application Proxy) 是工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。,,四、防火墻的類型與特點,2024/3/21,3、按部署結(jié)構(gòu)分類,從防火墻結(jié)構(gòu)分為單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。,單一主機防火墻：是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。與一臺計

34、算機結(jié)構(gòu)差不多，價格昂貴。,路由器集成式防火墻：這種防火墻通常是較低級的包過濾型。許多中、高檔路由器中集成了防火墻功能，如CiscoIOS防火墻系列。這樣企業(yè)就不用再同時購買路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購買成本。,分布式防火墻：不只是位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺主機，對整個內(nèi)部網(wǎng)絡(luò)的主機實施保護。在網(wǎng)絡(luò)服務(wù)器中，通常會安裝一個用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機上安裝有集成網(wǎng)卡功能的PCI防火墻卡。,四、防火墻的類型與

35、特點,2024/3/21,4、按部署位置分類,按防火墻的應(yīng)用部署位置分為邊界防火墻、個人防火墻和混合式防火墻三大類。,5、按性能分類,按防火墻性能分為百兆級防火墻和千兆級防火墻兩類。目前還針對小企業(yè)用戶（網(wǎng)絡(luò)流量小、用戶數(shù)量較少）生產(chǎn)出了桌面型防火墻。,四、防火墻的類型與特點,2024/3/21,防火墻的工作模式有路由模式、透明橋模式和混合模式三大類。,路由模式：防火墻可以充當路由器，提供路由功能。,透明橋模式：防火墻可以方便的接入到網(wǎng)

36、絡(luò)，而且保持所有的網(wǎng)絡(luò)設(shè)備配置完全不變。,混合模式：防火墻同時工作在路由模式和橋模式。,五、防火墻的工作模式,2024/3/21,路由模式,防火墻缺省工作模式，防火墻可以充當路由器，提供路由功能,FTP,,,www,DMZ區(qū),內(nèi)部網(wǎng)絡(luò),,,,連接DMZ的接口需要設(shè)置成公網(wǎng)地址或在出接口啟用destination nat,防火墻的各個接口處于不同的網(wǎng)段,Internet,2024/3/21,,橋模式,L3 Switch,Router,,,

37、,,防火墻可以方便的接入到網(wǎng)絡(luò)，而且保持所有的網(wǎng)絡(luò)設(shè)備配置完全不變,此時防火墻類似網(wǎng)橋的工作方式，降低網(wǎng)絡(luò)管理的復雜度,Internet,內(nèi)部網(wǎng)絡(luò),,2024/3/21,,混合模式,,,橋,防火墻同時工作在路由模式和橋模式,FTP,www,DMZ區(qū),內(nèi)部網(wǎng)絡(luò),Internet,路由,,NAT,,,2024/3/21,防火墻的網(wǎng)橋接口啟用NAT轉(zhuǎn)換,外部接口和DMZ接口組成透明方式,混合模式防火墻的應(yīng)用,2024/3/21,All-In-

38、One技術(shù)：大集成，需解決模塊安全,大多數(shù)防火墻的功能都比較全面，幾乎包括了所有的安全功能，如VPN、防病毒、IDS、安全審計等。性能不斷提升，國內(nèi)已有千兆線速防火墻；架構(gòu)已發(fā)生變化，從X86架構(gòu)，開始向ASIC、NP等網(wǎng)絡(luò)設(shè)備標準架構(gòu)蛻變。,功能性能不斷突破：需解決集成、核心技術(shù),下一代網(wǎng)絡(luò)的新需求：IPv6網(wǎng)絡(luò)需求,高速、安全、可用：高性能、抗毀、業(yè)務(wù)連續(xù),六、防火墻的發(fā)展趨勢,2024/3/21,單計算機保護,利用防火墻軟件實現(xiàn)。

39、目前可選天網(wǎng)、瑞星、趨勢、諾頓等。此處以單機版軟件為例，介紹防火墻規(guī)則設(shè)置與使用。,2024/3/21,瑞星個人防火墻的設(shè)置與使用,2024/3/21,瑞星個人防火墻的設(shè)置與使用,2024/3/21,瑞星個人防火墻的設(shè)置與使用,2024/3/21,瑞星個人防火墻的設(shè)置與使用,2024/3/21,防火墻功能要求,管理界面良好，配置容易、監(jiān)控方便 病毒掃描，堵截非法URL和Java過濾進行用戶驗證，防止網(wǎng)絡(luò)攻擊具有多協(xié)議適應(yīng)性防止

40、基于協(xié)議的攻擊測試方便,2024/3/21,防火墻產(chǎn)品選擇,具有標準的防火墻特性實際的用戶安全需求（見規(guī)范）可信的系統(tǒng)集成商與操作系統(tǒng)的無縫連接必要的防火墻產(chǎn)品測試綜合安全手段與整體安全性能,2024/3/21,防火墻產(chǎn)品,CheckPoint Firewall-1 4.0AXENT RaptorCyberGuard FirewallSecure Computing SecureZoneCisco PIX Firew

41、all 520Netscreen Netscreen-100NetGuard Guardian 3.0,2024/3/21,小 結(jié),防火墻是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一道防御系統(tǒng)，目的是保護網(wǎng)絡(luò)不被他人侵擾。防火墻在企業(yè)內(nèi)網(wǎng)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，從而實現(xiàn)內(nèi)網(wǎng)保護。 典型的防火墻具有三個基本特性：①內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；②只有符合安全策略

42、的數(shù)據(jù)流才能通過防火墻；③防火墻自身應(yīng)具有非常強的抗攻擊免疫力。 防火墻具有以下幾種功能：①限定內(nèi)部用戶訪問特殊站點；②防止未授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)；③允許內(nèi)部網(wǎng)絡(luò)中的用戶訪問外部網(wǎng)絡(luò)的服務(wù)和資源而不泄漏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和資源；④記錄通過防火墻的信息內(nèi)容和活動；⑤對網(wǎng)絡(luò)攻擊進行監(jiān)測和報警。 防火墻的體系結(jié)構(gòu)有以下幾種: ①雙重宿主主機體系結(jié)構(gòu)；②被屏蔽主機體系結(jié)構(gòu)；③被屏蔽子網(wǎng)體系結(jié)構(gòu)。 防火墻的類型有多種分類方法：技術(shù)上分“包

43、過濾型”和“應(yīng)用代理型”；結(jié)構(gòu)上分單一主機防火墻、路由器集成式防火墻和分布式防火墻三種；應(yīng)用部署位置分為邊界防火墻、個人防火墻和混合式防火墻；性能上分為百兆級防火墻和千兆級防火墻。 防火墻的發(fā)展趨勢：①功能性能不斷突破；②下一代網(wǎng)絡(luò)的新需求；③高速、安全、可用。,2024/3/21,課后思考：防火墻存在的問題,防火墻？防火墻解決了什么問題？防火墻沒有解決什么問題？防火墻的設(shè)置帶來了什么新的問題？防火墻是一個瓶頸，如何解決？