信息安全原理与技术ch09-防火墙.ppt

信息安全原理与技术 2020 2 11 Ch9 防火墙 2 第9章防火墙 主要知识点 防火墙概述 防火墙技术 防火墙的体系结构 2020 2 11 Ch9 防火墙 3 9 1防火墙概述 为了保护计算机通信的安全 人们需要开发一种能阻止计算机之间直接通信的技术 防火墙的基本功能对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络 即对网络进行访问控制 防火墙位于内部可信任的网络和外部不可信任的网络 对跨越防火墙的数据流进行监测和限制 向外部屏蔽内部可信任的网络的信息 拓扑结构和运行状况 实现对内部可信任的网络的保护 2020 2 11 Ch9 防火墙 4 防火墙的来源 防火墙 一词源自于早期建筑 在古代 构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延 人们将坚固的石块堆砌在房屋周围作为屏障 这种防护构筑物就被称为 防火墙 FireWall 如今在计算机网络中 沿用了古代这个名字来表示实现类似的网络安全功能 9 1 1防火墙的基本概念 2020 2 11 Ch9 防火墙 5 所谓 防火墙 指的就是一种被放置在自己的计算机与外界网络之间的防御系统 从网络发往计算机的所有数据都要经过它的判断处理后 才会决定能不能把这些数据交给计算机 一旦发现有害数据 防火墙就会拦截下来 实现了对计算机的保护功能 防火墙可以在主机或路由器上设置 允许可信的数据通过 拒绝恶意访问 保护内部的网络免受外部的恶意攻击 防火墙的定义 图9 1防火墙示意图 2020 2 11 Ch9 防火墙 7 防火墙的两条基本规则 一切未被允许的就是禁止的 基于该规则 防火墙应封锁所有信息流 然后对希望提供的服务逐项开放 即只允许符合开放规则的信息进出 这种方法非常实用 可以造成一种十分安全的环境 因为所能使用的服务范围受到了严格的限制 只有特定的被选中的服务才被允许使用 但这就使得用户使用的方便性受到了影响 一切未被禁止的就是允许的 基于该规则 防火墙逐项屏蔽被禁止的服务 而转发所有其它信息流 这种方法可以提供一种更为灵活的应用环境 可为用户提供更多的服务 但却很难提供可靠的安全防护 特别是当网络服务日益增多或受保护的网络范围增大时 2020 2 11 Ch9 防火墙 8 典型的防火墙具有的基本特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 2020 2 11 Ch9 防火墙 9 9 1 2防火墙的作用及局限性 防火墙的作用集中的安全管理安全警报重新部署网络地址转换 NAT 审计和记录网络的访问及使用情况向外发布信息 2020 2 11 Ch9 防火墙 10 1 集中的安全管理防火墙允许网络管理员定义一个中心来防止非法用户进入网络 禁止不安全的因素进出网络 并抗击外部攻击 防火墙定义的安全规则适用于整个内部网络 无需为每台内部主机配置安全策略 可以简化网络安全管理 提高网络的安全性 2020 2 11 Ch9 防火墙 11 2 安全警报防火墙监视网络通信并产生报警信号 3 重新部署网络地址转换 NAT 防火墙使用NAT技术完成内部私有IP地址到外部注册IP地址的转换 可以节约IP地址空间 2020 2 11 Ch9 防火墙 12 4 审计和记录网络的访问及使用情况由于所有的网络访问都经过防火墙 防火墙是审计和记录网络访问和使用情况的最佳地点 5 向外发布信息防火墙既可以形成内部安全屏障 也可以部署WWW服务器 提供对外访问 2020 2 11 Ch9 防火墙 13 防火墙的局限性防火墙不能防范不经由防火墙的攻击和威胁不能防御已经授权的访问 以及存在于网络内部系统间的攻击 不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁防火墙不能防止感染了病毒的软件或文件的传输防火墙不能防止数据驱动式攻击 表面无害的数据被驱动发起攻击 不能修复脆弱的管理措施和存在问题的安全策略 2020 2 11 Ch9 防火墙 14 9 1 3防火墙的分类 根据物理特性分类软件防火墙 运行在系统网络接口设备与系统网络驱动程序接口之间 会占用系统资源 硬件防火墙 专用的硬件平台和相关的软件 从结构上分类单一主机防火墙 基于单独的硬件设备的防火墙 路由集成式防火墙 将防火墙的功能嵌入路由器 分布式防火墙 防火墙不仅位于网络边界 在网络的每台主机都可以部署 2020 2 11 Ch9 防火墙 15 按工作位置分类边界防火墙个人防火墙混合防火墙按防火墙性能分类百兆级防火墙千兆级防火墙从实现技术上分类数据包过滤技术代理服务 2020 2 11 Ch9 防火墙 16 数据包过滤在网络层 根据IP的首部信息制定的过滤规则对数据包进行选择 通常结合路由器实现 但不对数据进行核查 过滤规则较复杂 不易配置包过滤规则 代理服务工作在应用层 介于外部的客户与内部的服务器之间 对外部客户发起的服务请求和内部的服务器返回的应答信息进行检查 每一种应用服务根据需要赢设置安全代理 2020 2 11 Ch9 防火墙 17 9 2防火墙技术 数据包过滤技术静态包过滤动态包过滤代理服务应用级网关电路级网关 2020 2 11 Ch9 防火墙 18 9 2 1数据包过滤 2020 2 11 Ch9 防火墙 19 数据包过滤用设置了过滤规则的路由器来实现 路由器收到一个数据包 从包的首部提取信息 例如IP地址 端口号和协议号等 再根据过滤规则决定是否通过该数据包 静态包过滤根据事先定义好的规则对数据包进行过滤 动态包过滤采用包状态监测技术 对每一个建立的连接进行跟踪 根据需要动态地更新过滤规则 2020 2 11 Ch9 防火墙 20 9 2 2应用级网关 代理服务器 应用级网关 代理服务器 应用级网关提供两个网络间传输的高水平的控制 即能对特定应用服务内容进行监控和提供基于网络安全策略的过滤 2020 2 11 Ch9 防火墙 21 例 FTP代理服务器 2020 2 11 Ch9 防火墙 22 9 2 3电路级网关 电路级网关是一个通用代理服务器 工作在TCP IP协议的TCP层 仅仅提供TCP连接的转发而不提供任何其它的报文处理和过滤 2020 2 11 Ch9 防火墙 23 9 3防火