防火墙技术概述与实例分析

1、第九章防火墙技术第九章防火墙技术 第九章防火墙技术第九章防火墙技术 9.1防火墙技术概述防火墙技术概述 9.2防火墙技术防火墙技术 9.3防火墙设计实例防火墙设计实例 第九章防火墙技术第九章防火墙技术 本章学习目标本章学习目标 （1）了解防火墙的定义、发展简史、目的、功）了解防火墙的定义、发展简史、目的、功 能、局限性及其发展动态和趋势。能、局限性及其发展动态和趋势。 （2）掌握包过滤防火墙和和代理防火墙的实现）掌握包过滤防火墙和和代理防火墙的实现 原理、技术特点和实现方式；熟悉防火墙的常见原理、技术特点和实现方式；熟悉防火墙的常见 体系结构。体系结构。 （3）熟悉防火墙的产品选购和设计策略。

2、）熟悉防火墙的产品选购和设计策略。 返回本章首页 第九章防火墙技术第九章防火墙技术 9.1防火墙技术概述防火墙技术概述 返回本章首页 第九章防火墙技术第九章防火墙技术 防火墙是设置在被保护网络和外部网络之防火墙是设置在被保护网络和外部网络之 间的一道屏障，实现网络的安全保护，以防止发间的一道屏障，实现网络的安全保护，以防止发 生不可预测的、潜在破坏性的侵入。防火墙本身生不可预测的、潜在破坏性的侵入。防火墙本身 具有较强的抗攻击能力，它是提供信息安全服务、具有较强的抗攻击能力，它是提供信息安全服务、 实现网络和信息安全的基础设施。图实现网络和信息安全的基础设施。图9.1为防火为防火 墙示意图。墙

3、示意图。 第九章防火墙技术第九章防火墙技术 图图9.1防火墙示意图防火墙示意图 返回本节 第九章防火墙技术第九章防火墙技术 第一代防火墙：采用了包过滤（第一代防火墙：采用了包过滤（Packet Filter） 技术。技术。 第二、三代防火墙：第二、三代防火墙：1989年，推出了电路层防年，推出了电路层防 火墙，和应用层防火墙的初步结构。火墙，和应用层防火墙的初步结构。 第四代防火墙：第四代防火墙：1992年，开发出了基于动态包年，开发出了基于动态包 过滤技术的第四代防火墙。过滤技术的第四代防火墙。 第五代防火墙：第五代防火墙：1998年，年，NAI公司推出了一种公司推出了一种 自适应代理技术，

4、可以称之为第五代防火墙。自适应代理技术，可以称之为第五代防火墙。 第九章防火墙技术第九章防火墙技术 图图9.2防火墙技术的简单发展历史防火墙技术的简单发展历史 返回本节 第九章防火墙技术第九章防火墙技术 （1）防火墙是网络安全的屏障）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计）对网络存取和访问进行监控审计 （4）防止内部信息的外泄）防止内部信息的外泄 返回本节 第九章防火墙技术第九章防火墙技术 （1）防火墙防外不防内。）防火墙防外不防内。 （2）防火墙难于管理和配置，易造成安全漏洞。）防火墙难于管理和配置，易造成安全

5、漏洞。 （3）很难为用户在防火墙内外提供一致的安全）很难为用户在防火墙内外提供一致的安全 策略。策略。 （4）防火墙只实现了粗粒度的访问控制。）防火墙只实现了粗粒度的访问控制。 返回本节 第九章防火墙技术第九章防火墙技术 （1）优良的性能）优良的性能 （2）可扩展的结构和功能）可扩展的结构和功能 （3）简化的安装与管理）简化的安装与管理 （4）主动过滤）主动过滤 （5）防病毒与防黑客）防病毒与防黑客 返回本节 第九章防火墙技术第九章防火墙技术 9.2防火墙技术防火墙技术 返回本章首页 第九章防火墙技术第九章防火墙技术 1包过滤防火墙包过滤防火墙 2代理防火墙代理防火墙 3两种防火墙技术的对比两

6、种防火墙技术的对比 第九章防火墙技术第九章防火墙技术 1包过滤防火墙包过滤防火墙 （1）数据包过滤技术的发展：静态包过滤、动）数据包过滤技术的发展：静态包过滤、动 态包过滤。态包过滤。 （2）包过滤的优点：不用改动应用程序、一个）包过滤的优点：不用改动应用程序、一个 过滤路由器能协助保护整个网络、数据包过滤对过滤路由器能协助保护整个网络、数据包过滤对 用户透明、过滤路由器速度快、效率高。用户透明、过滤路由器速度快、效率高。 第九章防火墙技术第九章防火墙技术 （3）包过滤的缺点：不能彻底防止地址欺骗；）包过滤的缺点：不能彻底防止地址欺骗； 一些应用协议不适合于数据包过滤；一些应用协一些应用协议不

7、适合于数据包过滤；一些应用协 议不适合于数据包过滤；正常的数据包过滤路由议不适合于数据包过滤；正常的数据包过滤路由 器无法执行某些安全策略；安全性较差器无法执行某些安全策略；安全性较差 ；数据数据 包工具存在很多局限性。包工具存在很多局限性。 第九章防火墙技术第九章防火墙技术 图9.3包过滤处理 第九章防火墙技术第九章防火墙技术 图9.4静态包过滤防火墙 第九章防火墙技术第九章防火墙技术 图9.5动态包过滤防火墙 第九章防火墙技术第九章防火墙技术 （1）代理防火墙的原理：）代理防火墙的原理： 代理防火墙通过编程来弄清用户应用层的流代理防火墙通过编程来弄清用户应用层的流 量，并能在用户层和应用协

8、议层间提供访问控制；量，并能在用户层和应用协议层间提供访问控制； 而且，还可用来保持一个所有应用程序使用的记而且，还可用来保持一个所有应用程序使用的记 录。记录和控制所有进出流量的能力是应用层网录。记录和控制所有进出流量的能力是应用层网 关的主要优点之一。代理防火墙的工作原理如图关的主要优点之一。代理防火墙的工作原理如图 9.6所示。所示。 2代理防火墙代理防火墙 第九章防火墙技术第九章防火墙技术 （2）应用层网关型防火墙：）应用层网关型防火墙： 主要保存主要保存Internet上那些最常用和最近访问上那些最常用和最近访问 过的内容：在过的内容：在Web上，代理首先试图在本地寻上，代理首先试图

9、在本地寻 找数据，如果没有，再到远程服务器上去查找。找数据，如果没有，再到远程服务器上去查找。 为用户提供了更快的访问速度，并且提高了网络为用户提供了更快的访问速度，并且提高了网络 安全性。应用层网关的工作原理如图安全性。应用层网关的工作原理如图9.7所示。所示。 应用层网关防火墙最突出的优点就是安全，缺点应用层网关防火墙最突出的优点就是安全，缺点 就是速度相对比较慢。就是速度相对比较慢。 第九章防火墙技术第九章防火墙技术 （3）电路层网关防火墙）电路层网关防火墙 在电路层网关中，包被提交用户应用层处理。电在电路层网关中，包被提交用户应用层处理。电 路层网关用来在两个通信的终点之间转换包，如路

10、层网关用来在两个通信的终点之间转换包，如 图图9.8所示。电路层网关防火墙的工作原理如图所示。电路层网关防火墙的工作原理如图 9.9所示电路层网关防火墙的特点是将所有跨越所示电路层网关防火墙的特点是将所有跨越 防火墙的网络通信链路分为两段。防火墙的网络通信链路分为两段。 第九章防火墙技术第九章防火墙技术 （4）代理技术的优点代理技术的优点 1）代理易于配置。代理易于配置。 2）代理能生成各项记录。代理能生成各项记录。 3）代理能灵活、完全地控制进出流量、内容。）代理能灵活、完全地控制进出流量、内容。 4）代理能过滤数据内容。代理能过滤数据内容。 5）代理能为用户提）代理能为用户提 供透明的加密

11、机制。供透明的加密机制。 6）代理可以方便地与其他）代理可以方便地与其他 安全手段集成。安全手段集成。 第九章防火墙技术第九章防火墙技术 （5）代理技术的缺点）代理技术的缺点 1）代理速度较路由器慢。）代理速度较路由器慢。 2）代理对用户不透代理对用户不透 明。明。 3）对于每项服务代理可能要求不同的服务）对于每项服务代理可能要求不同的服务 器。器。 4）代理服务不能保证免受所有协议弱点的）代理服务不能保证免受所有协议弱点的 限制。限制。 5）代理不能改进底层协议的安全性。）代理不能改进底层协议的安全性。 第九章防火墙技术第九章防火墙技术 直实服务器 外部 响应 转发请求 Internet 代

12、理客户 应用层代理服务 代理服务器 应用协 议分析 请求转发响应 Intranet 真实的 客户端 图9.6代理的工作方式 第九章防火墙技术第九章防火墙技术 图9.7应用层网关防火墙 第九章防火墙技术第九章防火墙技术 图9.8电路层网关 第九章防火墙技术第九章防火墙技术 图9.9电路层网关防火墙 第九章防火墙技术第九章防火墙技术 表表9.1两种防火墙技术两种防火墙技术 3两种防火墙技术的对比两种防火墙技术的对比 返回本节 第九章防火墙技术第九章防火墙技术 1双端口或三端口的结构双端口或三端口的结构 2透明的访问方式透明的访问方式 3灵活的代理系统灵活的代理系统 4多级的过滤技术多级的过滤技术

13、5网络地址转换技术（网络地址转换技术（NAT） 6网络状态监视器网络状态监视器 第九章防火墙技术第九章防火墙技术 7Internet网关技术网关技术 8安全服务器网络（安全服务器网络（SSN） 9用户鉴别与加密用户鉴别与加密 10用户定制服务用户定制服务 11审计和告警审计和告警 12应用网关代理应用网关代理 第九章防火墙技术第九章防火墙技术 13回路级代理服务器回路级代理服务器 14代管服务器代管服务器 15IP通道（通道（IP Tunnels） 16隔离域名服务器（隔离域名服务器（Split Domain Name Sever） 17邮件转发技术（邮件转发技术（Mail Forwardin

14、g） 返回本节 第九章防火墙技术第九章防火墙技术 1屏蔽路由器屏蔽路由器(如图9.10所示) 2双穴主机网关双穴主机网关(如图9.11所示) 3屏蔽主机网关屏蔽主机网关(如图9.12所示) 4被屏蔽子网被屏蔽子网(如图9.13所示) 第九章防火墙技术第九章防火墙技术 图9.10屏蔽路由器示意图 第九章防火墙技术第九章防火墙技术 图9.11双穴主机网关示意图 第九章防火墙技术第九章防火墙技术 图9.12屏蔽主机网关示意图 第九章防火墙技术第九章防火墙技术 图图9.13被屏蔽子网防火墙示意图被屏蔽子网防火墙示意图 返回本节 第九章防火墙技术第九章防火墙技术 9.3防火墙设计实例防火墙设计实例 返回

15、本章首页 第九章防火墙技术第九章防火墙技术 1防火墙的安全性防火墙的安全性 2防火墙的高效性防火墙的高效性 3防火墙的适用性防火墙的适用性 4防火墙的可管理性防火墙的可管理性 5完善及时的售后服务体系完善及时的售后服务体系 返回本节 第九章防火墙技术第九章防火墙技术 13Com Office Connect Firewall 新增的网络管理模块使技术经验有限的用新增的网络管理模块使技术经验有限的用 户也能保障他们的商业信息的安全。户也能保障他们的商业信息的安全。 Office Connect Internet Firewall 25使使 用全静态数据包检验技术来防止非法的网络接入用全静态数据包

16、检验技术来防止非法的网络接入 和防止来自和防止来自Internet的的“拒绝服务拒绝服务”攻击，它还攻击，它还 可以限制局域网用户对可以限制局域网用户对Internet的不恰当使用。的不恰当使用。 第九章防火墙技术第九章防火墙技术 Office Connect Internet Firewall DMZ可支持多达可支持多达100个局域网用户，这使局域网个局域网用户，这使局域网 上的公共服务器可以被上的公共服务器可以被Internet访问，又不会使访问，又不会使 局域网遭受攻击。局域网遭受攻击。 3Com公司所有的防火墙产品很容易通过公司所有的防火墙产品很容易通过 Getting Started

17、 Wizard 进行安装。它们使整进行安装。它们使整 个办公室可以共享个办公室可以共享ISP提供的一个提供的一个IP地址，因而地址，因而 节省开支。节省开支。 第九章防火墙技术第九章防火墙技术 2Cisco PIX防火墙防火墙 （1）实时嵌入式操作系统。实时嵌入式操作系统。 （2）保护方案基于自适应安全算法（保护方案基于自适应安全算法（ASA），）， 可以确保最高的安全性。可以确保最高的安全性。 （3）用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。 （4）最多支持最多支持250 000个同时连接。个同时连接。 （5） URL过滤。过滤。 第九章防火墙技术第九章防火墙技术 （6

18、）HP Open View集成。集成。 （7）通过电子邮件和寻呼机提供报警和告警通通过电子邮件和寻呼机提供报警和告警通 知。知。 （8）通过专用链路加密卡提供通过专用链路加密卡提供VPN支持。支持。 （9）符合委托技术评估计划（符合委托技术评估计划（TTAP），），经过经过 了美国安全事务处（了美国安全事务处（NSA）的认证，同时通过中的认证，同时通过中 国公安部安全检测中心的认证（国公安部安全检测中心的认证（PIX520除外）。除外）。 返回本节 第九章防火墙技术第九章防火墙技术 1防火墙的系统环境防火墙的系统环境 取消危险的系统调用；限制命令的执行权限；取消危险的系统调用；限制命令的执行权

19、限； 取消取消IP的转发功能；检查每个分组的接口；采用的转发功能；检查每个分组的接口；采用 随机连接序号；驻留分组过滤模块；取消动态路随机连接序号；驻留分组过滤模块；取消动态路 由功能；采用多个安全内核等等。由功能；采用多个安全内核等等。 第九章防火墙技术第九章防火墙技术 2设置防火墙的要素设置防火墙的要素 高级的网络策略定义允许和禁止的服务以及如何高级的网络策略定义允许和禁止的服务以及如何 使用服务，低级的网络策略描述防火墙如何限制使用服务，低级的网络策略描述防火墙如何限制 和过滤在高级策略中定义的服务。和过滤在高级策略中定义的服务。 第九章防火墙技术第九章防火墙技术 3服务访问策略服务访问

20、策略 允许通过增强认证的用户在必要的情况下从允许通过增强认证的用户在必要的情况下从 Internet访问某些内部主机和服务；允许内部用访问某些内部主机和服务；允许内部用 户访问指定的户访问指定的Internet主机和服务。主机和服务。 第九章防火墙技术第九章防火墙技术 4防火墙设计策略防火墙设计策略 允许任何服务除非被明确禁止；禁止任何服务除允许任何服务除非被明确禁止；禁止任何服务除 非被明确允许。第一种的特点是安全但不好用，非被明确允许。第一种的特点是安全但不好用， 第二种是好用但不安全，通常采用第二种类型的第二种是好用但不安全，通常采用第二种类型的 设计策略。而多数防火墙都在两种之间采取折

21、衷。设计策略。而多数防火墙都在两种之间采取折衷。 返回本节 第九章防火墙技术第九章防火墙技术 1实现方法实现方法 通过网络地址转换把内部地址转换成统一的通过网络地址转换把内部地址转换成统一的 外部地址，避免了使用代理服务所引起的账号安外部地址，避免了使用代理服务所引起的账号安 全问题和代理服务端口被利用的危险。同时为了全问题和代理服务端口被利用的危险。同时为了 避免各种代理服务端口探测和其他各种常用服务避免各种代理服务端口探测和其他各种常用服务 端口的探测，可以启用端口的探测，可以启用Microsoft Proxy Server的动态包过滤功能和的动态包过滤功能和IP分段过滤，达到分段过滤，达到 端口隐形的效果。端