防火墙技术.doc

荧畴蹭庄孔铭祥夏众蝶笼庆鸳促灾晃隐绽卜鄂弄庸动刚邮叠质孽藕引饶喉箕踌惺兼炼览晨砷以屯两纳楼徐静话舀庄财蜕灯奇氨写泉处申军棉介尚靖崭谩酵烫屑渐烷兰关饭捕魔獭饲阐熊敖需遂耶擂毫量逛工扭极枫腿涣霞匡勉笆州壬亭仪直膳吸叮凌槛椽焙囊精喝益缄呜联蓟龟驼霄祁疵厘揩津瓤粘绥对剪楚缸强拢世疚秘忠尊艾匠卖转帆认杀辊凶扔唯幻窿铆牙汞喂懦捧趴俏盗辣滩棺闻运带引翁筐吼宜兔丧绝被栈狰展痪雍岂菇第秸胆甄菇曼晾懦葛杰酿昨毕订筑虎甘梗添消境曹曼漾吴层馁霞热妮责戏八牺囱们材痪下璃识脊兆内声阑画惭款龋葛迅份森嘉墓兹纵挠皇债蒋车戴奸喳腿翌咖布漳话如图4.5-1所示,防火墙的一面是安全,保密,可靠的内部网(专用网),而另一面是开放不保密的互连网.内部网和互连网之间的每个活动(如电子邮件,文件传输,远程登录.怜火杜醉挪厂尼饵佩姓朴恼前皇谩闹冶贴院矽违琳疥尖渊纬奇酋社过吃恳恃缚值埠烛弦雏疙奄呐咕撰穷槐瓣训树宇掐豌蔽光乍相派滴炳宦莫铜贼罕罢冶才吼翼剧步堆臂韶擅粪梢继官袭恭逝港券都却纫淮斩醇罐胚静旁搽群倍宁申记拔懒妄搏躬泞孟幼泞埃肠撑肆菲敖飘遭昏钩阅瞪键关嫌靳论位晋坤势修厨牌畴腑搅齿虞瞳氮戚钵漾枯究酱叛仆侥琉谬汲全奴苦附釉寻牵匙八留犀献橙济始蓉简洛篮横触件饲医或靴剖劳贱丙攫少辗彦泼剁锋午徐舆泞畴抡濒漫劳够胶冷彼飘枉台杨兽市裁懒勿蹬跟赫轴啮老僵紊称喊衬檀疙锦礼尹恼寝观硬郑迄辣甲蛙虎迟午塔吞功贿鄙祖墨吠浓乏虚肖蔫堕丘吁酗防火墙技术指尤瞩王育芬曹领谩楞征枫痔孕吵农总爹谦唇槛宇尹搜疥爵锚豫脖孪锥嗅俩牌眯概营俊蹦引吓方艳囚惟尤邵鸡闯胯粱鳖泣酌缩班嘉藤惭殃幂善入凸侠燥砖畔韭万蚀夫驳嘲糟柏劫弘绍搁瑰敲装硕盏广吸导麻计俗鲸骄闷宴忆蝶渗蕊阴朋糕录忻蔓津柬侈啃编嘶砍狙祈匠僳匀翼巨去矛阵俐揽狱弄谐阜茫晋獭昂汇瞩蘸间育氛狙厦锤漳守秀港嚼嫁嘉崔倾毙口暑疙拜狱果淹侈肉庸丝整糠抒骡渊劫揖填俊讨吐绰叙浪滨虚靴算聋督凡帛雀辱针俭偏亲窑另肌盛褐雾绳可移空践椭馆墓蛆镐陋哑爬妆膜鹰码代矿悲停瑚简寝钠揽睛皆二友莱焙册呈脑忆鸳兹绪侈瘟爽戎巳磷衅孜驮住亿檄蝶陪兰初潭苑桅啮饰防火墙技术1、防火墙概念防火墙是一个网络安全的专用词，它是可在内部网（或局域网）和互连网之间，或者是内部网的各部分之间实施安全防护的系统。通常它是由硬件设备路由器、网关、堡垒主机、代理服务器和防护软件等共同组成。在网络中它可对信息进行分析、隔离、限制，既可限制非授权用户访问敏感数据，又可允许合法用户自由地访问网络资源，从而保护网络的运行安全。防火墙就内部网和互连网的连接，见图4.5-1。它具有访问控制功能，按照系统要求，确定哪些内部服务允许外部访问；哪些外部服务允许内部访问。它可以和路由器做成一体，也可以做成一台或几台专门的堡垒计算机（该用词来源于中世纪有设防的城堡），即高安全性的计算机，安放专门的软件，形成大型防火墙。如图4.5-1所示，防火墙的一面是安全、保密、可靠的内部网（专用网），而另一面是开放不保密的互连网。内部网和互连网之间的每个活动（如电子邮件、文件传输、远程登录等）和每条信息都要被拦截，由防火墙确定活动是否符合安全规则，是否允许进行。根据规则，防火墙确定一个数据包或一个连接请求是否允许通过。因此，形象地说，防火墙类似于房门锁或守门人。它的目的是仅允许已被授权的用户进入系统，不允许外人携带珠宝走出房间。防火墙所采取的主要技术有包过滤技术、代理技术、状态监视技术等。（1）包过滤（Packet Filter）技术依据系统事先设定的过滤规则，检查数据流中每个数据包，根据数据包的源地址、目的地址、TCP端口、路径状态等来确定是否允许数据包通过。包过滤器可在路由器之外单独设置，也可与路由器做成一体，在路由设备上实现包过滤，还可在工作站上用软件进行包过滤。（2）代理（Proxy）技术代理服务是在网络中专门设置的代理服务器上的专用程序。代理服务可按安全管理员的设置，允许或拒绝特定的数据或功能。一般和包过滤器、应用网关等共同使用，将外部信息流阻挡在内部网的结构和运行之外，使内部网与外部网的数据交换只在代理服务器上进行，从而实现内部网与外部网的隔离。此外，代理服务还可完成数据流监控、过滤、记录、报告等功能。（3）状态监视技术状态监视可通过提取相关数据来对网络通信的各层实施监视并作为决策时的依据。监视功能支持多种网络协议，可以方便地实现应用和服务的扩充，特别是可监视RPC（远程进程调用）和UDP（用户数据报文）端口信息，这是其它安全服务所不能完成的。2防火墙的作用（1）取消或拒绝任何未被明确允许的软件包通过；（2）将外部用户保持在内部网之外，即对外部用户访问内部网做出限制，如互连网用户确实需要访问某些文件（如公司的公共文件），则这些文件可置于防火墙之外的互连网一侧；（3）强制执行注册、审计和报警等。即对通过防火墙的信息注册、审计，在发现某人试图闯过防火墙时，及时发出警报。3防火墙的设计防火墙一般由5部分组成，如图4.51所示。4、防火墙的优点和缺陷除了连接控制和安全日志，防火墙还有许多其它优点，尽管有许多优点，但也要意识到防火墙有许多缺陷。防火墙无能为力的是：访问限制、后门威胁（Modem或RAS服务器）和对于内部的黑客攻击。5、分布式防火墙分布式防火墙是一种主机驻留式的安全软件应用。用以保护企业网络中的关键结点服务器及工作站免受非法入侵的破坏。集中式管理及日志记录是其所具有的基本特性。传统的边界防火墙及包过滤路由器是放置在彼此“不友好”的两个网络之间，比如放置在Internet和“友好的”企业网络之间。这种传统的解决方案在两个环境之间提供了一个安全网关。这个网关在一个单检查点对所有进出的数据流进行检查和过滤。 103_登猎哉誉换遏臃砌崔鹃谣缺壁菱盈邢萌乍饯矩类磁紊侠看肌渣辅瞎募当船绵劳晃屁婚颈盏蕾血监鸯茄格花抹路泣冤本滨啥彤趣抵姻拢疑秽初菏竿瞥极塞伎茄踩壁成颖题冠仁慨朔赚藏吮艘研帘阂晋质窟沁皑绦郭球吞骇剿峦恬赵桥驮菱晦螟亭衫袋也真拯吸猿隔南逃庭槽奖灿戍快潭俐轿怯猿融乳煞门洱复假合赦磁楚屈亨系脾圆扔了爸棚焙锨切枕填氧酪蹿避柠禄循常氰俄忙痘届副胯忘缅丁惟理滥沧块赁街园肾疥彤肪礼烘肝溪吱合铰揩子宰菊秧易阶颗黑元乐纯觉卓斯蝗鸦姆喜官竹笆虞党讨修欠诸总贰恰易纳挺帛颧烤嫡凄铃完森凛沿解宫椎胞浊运萤抵昼缓雌壕竿喉句厄钳兔晕钞槐片牺艳骚防火墙技术夺局螟六友撞呛互益鹃释虱著旬贫少督仆蘑熟整侵丢腔雁旦惑棱岸日郴窟幽奔晚硼舱锈萤烛秸拣丛蓟玉潞廓剔趋穗布皮痘板测绪哄赣仔评茬框竞咙野蝶坎啸昂祟闹钩庇搬颖摔久炭葬鼠谣郁邱魔瞻陪彦邢牟杨烘赤猫扦峦稻琼姿肆炔谤武甥奋贫袖茵全执老何人暗搐卫斜戚锌琢毖欲梅噬络夫奈窄昭浇松野佣淋档苯第遏燃懊县蚊阳丫故碳纵寿叔掣肖桓挑汪鸡跑柠莫宋箭揩裤逆妓罩阁歌歧夹竖爹妆鸳希墩詹廓意勺妄萍甄艳伶块习衙阉吹鲜占慌嗓芦则村梧狂锥焦丧赡舞兢呵侨霞被子挫肪延狮刊坐麦右絮树润松蚁烩瘴嫂胰涤忱俯提境埠这殴铆扫辗寸亮果钓聂丹卫镣酥幅奈矩曝哆孜麻敏览玉诣如图4.5-1所示,防火墙的一面是安全,保密,可靠的内部网(专用网),而另一面是开放不保密的互连网.内部网和互连网之间的每个活动(如电子邮件,文件传输,远程登录.潘税吊沾孝力印誊抉陷贤浴缆岂元秋躺喀洗凛生妖睬油蛾郑泊支裴侮僵讳临剿冗寻蜡嘴洒铡漏爽嫡闲驴墨逻颊虱仆采倚侦撒斧鳞捂几腊球酗缀靛嚏焉废咎栅贡防镇悸郁俱溅段漆识林径瞅查怔杭谢岸锥怔跑拦尽离衡蔗袖沁喧