防火墙技术概述

1、第 7 章 防火墙技术 7.1 防火墙概述7.2 防火墙的类型7.3 防火墙在网络中的位置7.4 防火墙的体系结构7.5 防火墙的选购和使用 7.6 小结习题与思考题本章学习目标了解防火墙的概念、功能特点、和安全性设计。熟悉防火墙的类型，以及在网络中如何配置防火墙。了解在实际中常用的防火墙系统。了解防火墙的选购策略、安装和维护。7.1 防火墙概述7.1.1 防火墙的定义7.1.2 防火墙的发展历史7.1.3 防火墙的功能7.1.1 防火墙的定义 从计算机网络安全技术的角度看，防火墙是一个连接两个或更多物理网络，并把分组从一个网络转发到另一个网络的意义上的路由器，它将网络分成内部网络和外部网络。

2、1. 防火墙的定义 在被保护网络和外部网络之间建立一道屏障，通过相应的访问控制策略（允许、拒绝、监测、记录）控制进出网络的访问行为。2. 防火墙的目的 通常意义下的防火墙具有以下三个方面的特征：所有的网络数据流都必须经过防火墙：不同安全级别的网络或安全域之间的唯一通道。3. 防火墙的特征防火墙是安全策略的检查站：只有被防火墙策略明确授权的通信才可以通过。防火墙具有非常强的抗攻击能力。防火墙系统自身具有高安全性和高可靠性。这是防火墙能担当企业内部网络安全防护重任的先决条件。 一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。7.1.2 防火墙的发展历史第一代防火墙：采用了

3、包过滤（Packet Filter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。7.1.3 防火墙的功能限定内部用户访问特殊站点；防止未授权用户访问内部网络；1. 过滤和管理允许内部网络中的用户访问外部网络的服务和资源；不泄漏内部网络的数据和资源；2. 保护和隔离记录通过防火墙的信息内容和活动；对网络攻击进行监测和报警。3. 日志和警告防火墙的基本功能：访问控制 基于源MAC地址 基于目的MAC地址 基于

4、源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于方向 基于时间 基于用户 基于流量 基于内容路由功能NAT功能VPN功能用户认证带宽控制日志审计流量分析防火墙的扩展功能不能防备计算机病毒；限制有用的网络服务；不能防范不经过防火墙的攻击；对于来自网络内部的攻击无能为力；不能解决进入防火墙的数据带来的所有安全问题；不能防备新的网络安全问题。防火墙的不足之处7.2 防火墙的类型7.2.1 按物理实体分类7.2.2 按工作方式分类7.2.3 按结构分类7.2.4 按部署位置分类7.2.5 按性能分类7.2.1 按物理实体分类 通过软件的方式来达到，价格便宜，但这类防火墙只能通过一定的规则来

5、达到限制一些非法用户访问内部网的目的。1. 软件防火墙 采用电路级设计，通常使算法设计专用芯片，效率最高，但价格较贵，一般小型企业和个人很难实现。 2. 硬件防火墙 基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。 做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。 3.芯片级防火墙7.2.2 按工作方式分类 防火墙的工作方式主要分为包过滤型、应用代理型和状态检测型。 包过滤（Packet filtering）防火墙

6、是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查。1. 包过滤型 包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤防火墙的原理包过滤型防火墙 包过滤防火墙逻辑简单、价格便宜、网络性能和透明性好。它的不足之处也显而易见，包过滤防火墙配置困难，且无法满足各种安全要求，缺少审计和报警机制。包过滤防火墙的优缺点应用代理型防火墙（Application Proxy）工作在OSI的最高层，即应用层。其特点是完全阻隔了网络通信流，通过对

7、每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。2. 应用代理型状态检测防火墙是在包过滤防火墙的基础上，采取抽取相关数据的方法，既检查应用层协议信息，也监控并且维护每一个连接的状态信息。状态检测防火墙将每个数据包看成是一个独立单元的同时，也考虑前后报文的历史关联性，动态地决定是否允许通过防火墙。3. 状态检测型 状态检测防火墙具有高效率、高安全性、可伸缩，易扩展、应用范围广的特点。状态检测防火墙的特点7.2.3 按结构分类 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。与一台计算机

8、结构差不多，价格昂贵。 1. 单一主机防火墙单一主机防火墙 这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能，如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。2. 路由器集成式防火墙 分布式防火墙不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。 在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。 3. 分布式防火墙7.2.4 按部署位置分类 按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。1. 边界防火墙 边界防火

9、墙位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。 个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。2. 个人防火墙3. 混合防火墙 混合式防火墙可以说就是分布式防火墙，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。 7.2.5 按性能分类按防火墙性能分为百兆级防火墙和千兆级防火墙

10、两类。这主要是指防火墙的通道带宽，或者吞吐率。 目前还针对小企业用户（网络流量小、用户数量较少）生产出了桌面型防火墙。 7.3 防火墙在网络中的位置 1. 安装防火墙以前的网络 2. 安装防火墙后的网络 DMZ (demilitarized zone，也称非军事区)是一个非安全系统与安全系统之间的缓冲区。它的设立是为了解决安装防火墙后，外部网络不能访问内部网络服务器的问题。DMZ位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。 通过这样一个DMZ区域，更加有效地保护了内部网络。 3. DMZ区7.4 防

11、火墙的体系结构7.4.1 堡垒主机7.4.2 双宿主主机结构7.4.3 屏蔽主机结构7.4.4 屏蔽子网结构7.4.1 堡垒主机堡垒主机（Bastion Host）是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。多数情况下，一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接内部网络，另一块连接公网，即Internet。堡垒主机需要为每一个应用层协议配置一个相应的进程，为该协议提供服务。堡垒主机的分类：单宿主堡垒主机双宿主堡垒主机内部堡垒主机7.4.2 双

12、宿主主机结构 双宿主主机（Dual-Homed Host）防火墙系统由一台双宿主堡垒主机构成，该主机至少有两个网络接口，并具有以下特点：两个端口之间不能进行直接的IP数据包的转发；防火墙内部的系统可以与双宿主主机进行通信，防火墙外部的系统也可以与双宿主主机进行通信，但内部系统和外部系统之间不能直接进行通信。 7.4.3 屏蔽主机结构屏蔽主机（Screened Host）防火墙由包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。屏蔽主机防火

13、墙的堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。7.4.4 屏蔽子网结构屏蔽子网防火墙利用两台屏蔽路由器把子网与外部网络隔离开，堡垒主机、信息服务器、Modem组，以及其他公用服务器放在该子网中，这个子网即DMZ。 屏蔽子网防火墙是最安全的防火墙系统之一，因为它在定义了DMZ网络后，支持网络层和应用层安全功能。DMZ：防止外部网络和内部网络直接进行信息传输。Internet端的路由器：用于防范外部攻击，并管理外部网到DMZ网络的访问，它只允许外部系统访问堡垒主机。Intranet端的路由器：提供第二层防御，只接收来自堡垒主机和信息服务器的数据包。7.5 防火

14、墙的选购和使用 7.5.1 防火墙的选购策略 7.5.2 防火墙的安装7.5.3 防火墙的维护7.5.1 防火墙的选购策略稳定性；灵活性；先进性；过滤语言灵活，编程友好，具备若干过滤属性；高效和可靠性；可扩展性。防火墙的基本性能 网络管理与网络专家的决策者，要事先考虑把防火墙放在网络系统的哪一个位置上，才能满足自己公司或组织的需求，确定欲购的防火墙所能接受的风险水平。2. 认真制定安全政策 除考虑防火墙的销售价格外，还要考虑它的管理费用、维护费用及消耗材料费用等。 3. 满足实用性、安全性的基础上，还要考虑经济性7.5.2 防火墙的安装 不同类型的防火墙，在不同的计算机网络系统中，所起的作用是不同的。对于某类防火墙，安装在同类计算机网络系统的不同位置，结果也是不同的。 对不同类型的防火墙，安装的难易程度是有差别的。但对于建立企业内部网和防火墙的网络管理人员来说，为了完成安装工作，必须制定详细的计划。 1. 安装防火墙前应该进行的工作 由于防火墙具有独特的管理及报告功能，所以整个安装过程均要在严密的计划之下进行。安装防火墙的方法有：使用可编程路由器作为包过滤。把防火墙安装在一台双端口的主机系统中，连接内部网络。采用应用与