安全5-防火墙-教案

1、河北工业职业技术学院局域网管理与安全课程教案首页授课教师刘海鹏班级学时2授课日期主题或任务防火墙技术课型上机实训授课地点多媒体教室企业专业教室实训室教学目标（从知识、技能、素质三方面说明）l 了解防火墙的产生和发展l 掌握防火墙的概念、功能和在网络中的位置l 了解防火墙的局限性l 掌握防火墙的3种体系结构、防火墙的不同分类方法l 了解个人防火墙的现状及其发展状况学习内容1、防火墙概述2、防火墙分类3、防火墙实现技术原理4、防火墙应用5、防火墙产品重点难点重点：防火墙的概念、分类以、防火墙的体系结构难点：防火墙的体系结构教学方法理论讲授 小组讨论 项目教学任务驱动 参观教学 模拟教学实验实训 演

2、示教学 其他 素材资源文本素材实物展示PPT幻灯片音频素材视频素材动画素材图形/图像素材网络资源其他教学设计回顾木马的概念、原理、防范与清除方法引入本次课程主题：防火墙技术。逐次讲述本次教学内容。总结本次教学内容地主要内容。便于学生课下复习巩固。学习评价行为表现 课堂作业 测验测试 制作作品 其他 上机实验 作业题目课后作业 三、简答题（1-4）双语教学系（部）： 教研室： 教研室主任签字： 年 月 日防火墙技术（4课时）【知识目标】了解防火墙的产生和发展历程了解防火墙的概念、功能和在网络中的位置了解防火墙的局限性掌握防火墙的3种体系结构、防火墙的不同分类方法了解个人防火墙的现状及其发展状况【

3、技能目标】掌握防火墙的概念、主要功能和主要技术了解防火墙的各种性能指标。能够熟练使用各种常用的防火墙（安装、参数设置、规则配置等）【教学内容】1、防火墙概述2、防火墙的分类3、防火墙实现技术原理4、防火墙的应用5、防火墙的产品1、防火墙概述：防火墙简介：防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件。防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制，提供可控的过滤网络通信，只允许授权的通信，目的是保护网络不被他人侵扰。通常，防火墙就是位于内部网络或Web站点与因特网之间的一个路由器或一台计算机，又称堡垒主机,它是对所有网络通信流进行过滤的节点。

4、1）概念：所谓“防火墙”是指一种隔离内部网络与外部网络之间的一道防御体系。l 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。l 它是不同网络或网络安全域之间信息的唯一出入口 。2）具有以下性质：n 内部网络和外部网络通信的所有数据包都必须通过防火墙。n 只有符合安全策略的数据包才能通过防火墙。n 防火墙本身不会影响信息的流通。n 防火墙自身应具有非常强的抗攻击能力。3）防火墙的功能n 基本功能：n 过滤（进入）（访问控制）n 审计、报警n 用户策略n 隔离（外出）n 扩展功能：n 网络地址转换功能n 代理功能n 时间和流量的控制和

5、统计功能n 虚拟专用网功能（VPN）n 路由功能n IP地址域MAC地址的绑定功能n 其他特殊功能4）防火墙的局限性不是万能的n 不能防止不经过防火墙的攻击，或经过授权的用户的攻击。n 不能解决来自内部网络的攻击好安全问题。n 难于管理和配置，易造成安全漏洞。n 不能防止利用标准协议缺陷和服务器系统漏洞进行的攻击。n 不能防止带有病毒文件的攻击。n 不能方法不断更新的攻击方式。n 不能防止数据驱动式攻击。n 容易造成网络瓶颈。n 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。n 防火墙不能解决来自内部网络的攻击和安全问题。n 防火墙不能防止策略配置不当或错误配置引起的安全威胁。n

6、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。n 防火墙不能防止利用服务器系统漏洞所进行的攻击。n 防火墙不能防止受病毒感染的文件的传输。 n 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。n 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。 n 防火墙不能防止可接触的人为或自然的破坏。n5）防火墙的发展历史6）防火墙在网络中的位置2、防火墙的分类 按性能分类：百兆级防火墙和千兆级防火墙。 按形式上划分：软件防火墙和硬件防火墙； 按保护对象分类：单机防火墙和网络防火墙； 按技术上划分

7、：包过滤防火墙、应用代理型防火墙、状态检测防火墙和复合型防火墙。 按CPU架构的分类：通用CPU、NP（Network Processor，网络处理器）、ASIC（Application Specific Integrated Circuit，专用集成电路）架构的防火墙、多核架构防火墙（目前的千兆、万兆防火墙基本都是）。防火墙的体系结构n 1）双宿主主机体系结构n 2）屏蔽主机体系结构屏蔽主机防火墙在实际的网络管理中，有时某些主机提供特别的服务，比如银行的服务器，需要进行特别的安全保护，使外网的主机无法知道它的存在。这时，就可以使用防火墙来屏蔽该主机（假设IP地址为）。具体的办法就是，将网络数

8、据包中凡是源地址为的进入防火墙的数据包和目的地址为的从防火墙外出的数据包都丢弃。可以在WinRoute防火墙中添加如下的规则实现对内部主机的屏蔽。n 3）屏蔽子网体系结构屏蔽子网防火墙 有时为了某种原因需要屏蔽某个网络，例如，使得该网络上的所有主机都不能访问Internet。设置的步骤如下： （1）设置屏蔽TCP进入数据包的规则。 （2）设置屏蔽UDP进入数据包的规则参数。 （3）设置屏蔽TCP外出数据包的规则。 （4）设置屏蔽UDP外出数据包的规则。DMZ区常规访问控制策略1、内部网络可以访问DMZ，方便用户使用和管理DMZ中的服务器。2、外部网络可以访问DMZ中的服务器，同时需要由防火墙完

9、成对外地址到服务器实际地址的转换。3、DMZ不能访问内部网络。4、DMZ不能访问外部网络。此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外部网络，否则将不能正常工作。3、防火墙实现技术原理1）简单包过滤防火墙（Packet filtering）数据包过滤技术的发展：静态包过滤、动态包过滤。 包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项： 源、目的IP地址； 源、目的端口号； 协议类型； TCP报头的标志位。工作原理工作流程包过滤防火墙的特点 优点： 保护整个网络；对用户透明；可用路由器，不需要其他设备。 缺点： 1.包过滤的一个重要的局限是

10、它不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 欺骗2）动态包过滤(状态检测) 防火墙工作原理1：工作原理工作流程3）应用代理防火墙（Proxy Server）工作过程：工作原理：代理服务器的类型 HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。 FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。 POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。 Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其

11、端口一般为23。 Socks代理：是全能代理，支持多种协议，包括http、ftp请求及其它类型的请求，其标准端口为1080。 代理技术的优点1. 代理易于配置。 2. 代理能生成各项记录。3. 代理能灵活、完全地控制进出流量、内容。 4. 代理能过滤数据内容。5. 代理能为用户提供透明的加密机制。6. 代理可以方便地与其他安全手段集成。 代理技术的缺点1. 代理速度较路由器慢。2. 代理对用户不透明。3. 对于每项服务代理可能要求不同的服务器。 4. 代理服务不能保证免受所有协议弱点的限制。 5. 代理防火墙提供应用保护的协议范围是有限的 。自适应代理防火墙检测应用层的头部信息，然后在网络层转

12、发。下一代防火墙Next Generation Firewall应用特征库已经收录了超过3000种互联网应用，还包括700余种移动互联网应用l 著名市场分析咨询机构Gartner曾于2009年发表文章定义下一代防火墙，文章指出下一代防火墙在具有传统防火墙功能与特点的同时，还要具有“支持联动的集成化IPS”、“应用管控与可视化”以及“智能化联动”相关特性。l 具有“基于用户防护”、“面向应用安全”、“高效转发平台”、“多层级冗余架构”、“全方位可视化”及“安全技术融合”六大产品特性。n 包过滤防火墙数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设

13、置的过滤逻辑，被称为访问控制表（Access Control List，ACL）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙的优点：它对用户来说是透明的，处理速度快且易于维护。1.包过滤防火墙的分类（1）静态包过滤（2）动态包过滤2.包过滤防火墙的工作原理（1）数据包从外网传送到防火墙后，防火墙抢在IP层向TCP层传送前，将数据包转发给包检查模块进行处理。（2）包检查模块首先将包头信息与第一条规则进行比较，如果与第一条规则匹配则对它进行审核判断，看是否转发该数据包。如果转发，则将数据包转发给TCP层处理，否则就

14、将该报丢弃。（3）如果包头信息与第一条规则不匹配，则与第二条规则比较。接下来的步骤同上，直到所有规则都比较完毕。要是都不匹配，则丢弃该数据包。n 2代理服务器防火墙代理服务器有两个主要的部件：代理服务器和代理客户。代理客户端的用户面对的是代理服务器而不是因特网上的真正的服务器。代理服务器评价来自客户的请求，决定认可哪一个或否认哪一个。如果一个请求被认可，代理服务器代表客户接触真正的服务器，并且转发从代理客户到真正的服务器的请求，将服务器的响应传送给代理客户。n 3复合型防火墙又称：自适应代理防火墙4、防火墙的应用实例： 例1：不允许上。方法：1.使用包过滤防火墙把服务器的所有IP过滤掉。2.使

15、用代理防火墙过滤域名，而不管IP地址怎么改变。7, 30, 31, 33, 34, 35, 40, 0, 1, 2, 3, 5,Client用SOCKS5【问题】图中的防火墙如果改为代理防火墙，是否可以过滤Client传过来的数据包？Client用“特殊”的HTTP代理【说明】 client端发出HTTP请求时

16、，不包含的信息，代理防火墙就检测不到字段 ，实现不了过滤。 HTTP代理需要“特殊” 定制，代理服务器知道这类client端发出的请求是要访问，它会帮助client端下载的内容。 Web服务器的位置 1 Web服务器置于防火墙之内 布置防火墙的主机安装两个网络接口卡，分别为eth0和eth1。其中，eth0连接在外网，其IP地址为；eth1连接在内网，其IP地址为。Web服务器主机位于内网，其IP地址为，如下图所示。 2 Web服务器置于防火墙之外 防火墙只能对内网的主机提供一定的保护功能。如果将Web服务器放置在防火墙之外，防火墙就不会对该服务器有任何的防护作用。因此，在防火墙主机上也不需要

17、有任何的设置了。通常，将Web服务器放置在接入路由器和内部防火墙之间的非军事化区域，在接入路由器上需要配置NAT和端口映射功能，如下页图所示。 3 Web服务器置于防火墙之上 布置防火墙的主机安装两个网络接口卡，分别为eth0和eth1。其中，eth0连接在外网，其IP地址为；eth1连接在内网，其IP地址为。将Web服务器绑定在内网的接口卡上，如下图所示。 防火墙的部署5、防火墙的产品思科ASA5520-K8参数防火墙性能指标 吞吐量定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能 并发连接数定

18、义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数 衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数 丢包率定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响 防火墙由于资源不足只转发了800个包丢包率=（1000-800）/1000=20% 延时定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间

19、间隔衡量标准：防火墙的时延能够体现它处理数据的速度 造成数据包延迟到达目标地 最大并发连接建立速率定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数 。衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力单位时间内增加的并发连接数防火墙功能指标 分级带宽管理 LAN接口 多协议支持 认证支持 高级访问控制防火墙的选购防火墙可以是硬件防火墙，也可以是软件防火墙。目前硬件防火墙产品比较有影响力的品牌是思科和华为。思科的防火墙以功能强著称，华为的防火墙以性价比高而出名。而软件防火墙在UNIX/Linux平台下，iptables最有影响力；在Wi

20、ndows平台下，Check Point、WinRoute等很有影响力。 软、硬件防火墙特性的对照见下表。一个好的防火墙应该具备以下特点： （1）自身的安全性。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。 （2）系统的稳定性。由于种种原因，有些系统尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断。 （3）是否高效。一般来说，防火墙加载上百条规则，其性能下降不应超过 5%10%(指包过滤防火墙