防火墙技术课件

第5章防火墙技术第5章防火墙技术1防火墙技术

3.1防火墙技术概述3.2防火墙技术3.3防火墙设计实例防火墙技术 3.1防火墙技术概述2本章学习目标 （1）了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。（2）掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。（3）熟悉防火墙的产品选购和设计策略。返回本章首页本章学习目标 （1）了解防火墙的定义、发展简史、目的、功能、3内容攻击的风险日趋增长198019902000网络分层物理层攻击窃取计算机磁带，磁盘，搭线窃听，电子信号的检测和感应协议层攻击盗用口令，欺骗，操作系统和网络协议的侦测内容攻击蠕虫，病毒，可执行内容、特洛伊木马/代理的攻击物理层数据链路层表示层应用层会话层传输层网络层内容攻击的风险日趋增长198019902000网络分层物理层4网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞扫描网络管理评估病毒防护体系网络监控数据保密网络访问控制应急服务体系安全技术培训数据恢复网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞55.1防火墙技术概述 防火墙的定义防火墙的发展简史设置防火墙的目的和功能返回本章首页5.1防火墙技术概述 防火墙的定义返回本章首页6防火墙的功能1.访问控制2.对网络存取和访问进行监控审计3.防止内部信息的外泄4.支持VPN功能5.支持网络地址转换防火墙的功能1.访问控制7对防火墙的两大需求保障内部网安全保证内部网同外部网的连通对防火墙的两大需求保障内部网安全83.1.1防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。

它是不同网络或网络安全域之间信息的唯一出入口。3.1.1防火墙的定义 防火墙是设置在被9防火墙的发展简史防火墙的发展简史10

第一代防火墙：采用了包过滤（PacketFilter）技术。第二代防火墙：应用层防火墙的初步结构。第三代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第四代防火墙：1998年，NAI公司推出了一种自适应代理技术。 第一代防火墙：采用了包过滤（PacketFilter）技113.1.4防火墙的局限性 （1）防火墙防外不防内。（2）防火墙不能防范不通过它的连接。（3）很难为用户在防火墙内外提供一致的安全策略。（4）防火墙只实现了粗粒度的访问控制。（5）防火墙对病毒的访问控制有局限。返回本节3.1.4防火墙的局限性 （1）防火墙防外不防内。返回本节123.2防火墙技术 3.2.1防火墙的技术分类3.2.2防火墙的主要技术及实现方式3.2.3防火墙的常见体系结构返回本章首页3.2防火墙技术 3.2.1防火墙的技术分类返回本章首页133.2.1防火墙的技术分类 1．包过滤防火墙2．应用网关（代理服务）3．混合防火墙3.2.1防火墙的技术分类 1．包过滤防火墙141．包过滤防火墙（Packetfiltering）（1）数据包过滤技术的发展：静态包过滤、动态包过滤。

（2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。

1．包过滤防火墙（Packetfiltering）（1）数15简单包过滤防火墙的工作原理简单包过滤防火墙的工作原理16包过滤防火墙的工作流程包过滤防火墙的工作流程17过滤规则-ACL包过滤规则一般基于部分的或全部的包头信息：1．IP协议类型2．IP源地址3．IP目标地址4．TCP（UDP）源端口号5．TCP（UDP）目标端口号6．TCPACK标识，指出这个包是否是联接中的第一个包，是否是对另一个包的响应。过滤规则-ACL包过滤规则一般基于部分的或全部的包头信息：18优点：保护整个网络；对用户透明；可用路由器，不需要其他设备。缺点：1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。2.包过滤规则难配置。3.新的协议的威胁。4.IP欺骗包过滤防火墙的特点优点：包过滤防火墙的特点19应用方向动作源地址源端口目的地址目的端口协议进站允许192.168.6.0/24>1023any80TCP进站拒绝any

any

E0端口

应用方向动作源地址源端口目的地址目的端口协议进站允许192.20默认安全策略没有明确禁止的行为都是允许的

举例：华为的ACL没有明确允许的行为都是禁止的举例：思科的ACL默认安全策略没有明确禁止的行为都是允许的21代理防火墙（应用层网关型防火墙）代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。2．代理防火墙的原理

ProxyServer代理防火墙（应用层网关型防火墙）2．代理防火墙的原理

Pr22代理防火墙的原理代理防火墙的原理23代理防火墙的工作过程代理防火墙的工作过程24代理技术的优点

1）代理易于配置。

2）代理能生成各项记录。3）代理能灵活、完全地控制进出流量、内容。

4）代理能过滤数据内容。5）代理能为用户提供透明的加密机制。6）代理可以方便地与其他安全手段集成。

代理技术的优点

1）代理易于配置。25代理技术的缺点1）代理速度较路由器慢。2）代理对用户不透明。3）对于每项服务代理可能要求不同的服务器。4）代理服务不能保证免受所有协议弱点的限制。5）代理防火墙提供应用保护的协议范围是有限的

代理技术的缺点1）代理速度较路由器慢。26动态包过滤防火墙的工作原理动态包过滤防火墙的工作原理27自适应代理防火墙

自适应代理防火墙

28筛选路由器多宿主主机被屏蔽主机被屏蔽子网防火墙构造体系筛选路由器防火墙构造体系29概念l

堡垒主机(Bastionhost):堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。可以配置成过滤型、代理型或混合型。l

双宿主主机(Dual-homedHost):有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。DMZ(DemilitarizedZone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网。可以实现避免内外网用户的直接接触。概念l

堡垒主机(Bastionhost)30内部网络外部网络包过滤器进行包过滤筛选路由器内部网络外部网络包过滤器进行包过滤筛选路由器31双宿主主机--Dual-HomedHostFirewall双宿主主机--Dual-HomedHostFirewal32被屏蔽主机

(ScreenedHostFirewall)被屏蔽主机

(ScreenedHostFirewall)33被屏蔽子网

(ScreenedsubnetFirewall)被屏蔽子网

(ScreenedsubnetFirewal34小型网络解决方案

小型网络解决方案35典型的网络安全解决方案典型的网络安全解决方案36双机热备

双机热备37第5章防火墙技术第5章防火墙技术38防火墙技术

3.1防火墙技术概述3.2防火墙技术3.3防火墙设计实例防火墙技术 3.1防火墙技术概述39本章学习目标 （1）了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。（2）掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。（3）熟悉防火墙的产品选购和设计策略。返回本章首页本章学习目标 （1）了解防火墙的定义、发展简史、目的、功能、40内容攻击的风险日趋增长198019902000网络分层物理层攻击窃取计算机磁带，磁盘，搭线窃听，电子信号的检测和感应协议层攻击盗用口令，欺骗，操作系统和网络协议的侦测内容攻击蠕虫，病毒，可执行内容、特洛伊木马/代理的攻击物理层数据链路层表示层应用层会话层传输层网络层内容攻击的风险日趋增长198019902000网络分层物理层41网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞扫描网络管理评估病毒防护体系网络监控数据保密网络访问控制应急服务体系安全技术培训数据恢复网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞425.1防火墙技术概述 防火墙的定义防火墙的发展简史设置防火墙的目的和功能返回本章首页5.1防火墙技术概述 防火墙的定义返回本章首页43防火墙的功能1.访问控制2.对网络存取和访问进行监控审计3.防止内部信息的外泄4.支持VPN功能5.支持网络地址转换防火墙的功能1.访问控制44对防火墙的两大需求保障内部网安全保证内部网同外部网的连通对防火墙的两大需求保障内部网安全453.1.1防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。

它是不同网络或网络安全域之间信息的唯一出入口。3.1.1防火墙的定义 防火墙是设置在被46防火墙的发展简史防火墙的发展简史47

第一代防火墙：采用了包过滤（PacketFilter）技术。第二代防火墙：应用层防火墙的初步结构。第三代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第四代防火墙：1998年，NAI公司推出了一种自适应代理技术。 第一代防火墙：采用了包过滤（PacketFilter）技483.1.4防火墙的局限性 （1）防火墙防外不防内。（2）防火墙不能防范不通过它的连接。（3）很难为用户在防火墙内外提供一致的安全策略。（4）防火墙只实现了粗粒度的访问控制。（5）防火墙对病毒的访问控制有局限。返回本节3.1.4防火墙的局限性 （1）防火墙防外不防内。返回本节493.2防火墙技术 3.2.1防火墙的技术分类3.2.2防火墙的主要技术及实现方式3.2.3防火墙的常见体系结构返回本章首页3.2防火墙技术 3.2.1防火墙的技术分类返回本章首页503.2.1防火墙的技术分类 1．包过滤防火墙2．应用网关（代理服务）3．混合防火墙3.2.1防火墙的技术分类 1．包过滤防火墙511．包过滤防火墙（Packetfiltering）（1）数据包过滤技术的发展：静态包过滤、动态包过滤。

（2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。

1．包过滤防火墙（Packetfiltering）（1）数52简单包过滤防火墙的工作原理简单包过滤防火墙的工作原理53包过滤防火墙的工作流程包过滤防火墙的工作流程54过滤规则-ACL包过滤规则一般基于部分的或全部的包头信息：1．IP协议类型2．IP源地址3．IP目标地址4．TCP（UDP）源端口号5．TCP（UDP）目标端口号6．TCPACK标识，指出这个包是否是联接中的第一个包，是否是对另一个包的响应。过滤规则-ACL包过滤规则一般基于部分的或全部的包头信息：55优点：保护整个网络；对用户透明；可用路由器，不需要其他设备。缺点：1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。2.包过滤规则难配置。3.新的协议的威胁。4.IP欺骗包过滤防火墙的特点优点：包过滤防火墙的特点56应用方向动作源地址源端口目的地址目的端口协议进站允许192.168.6.0/24>1023any80TCP进站拒绝any

any

E0端口

应用方向动作源地址源端口目的地址目的端口协议进站允许192.57默认安全策略没有明确禁止的行为都是允许的

举例：华为的ACL没有明确允许的行为都是禁止的举例：思科的ACL默认安全策略没有明确禁止的行为都是允许的58代理防火墙（应用层网关型防火墙）代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。2．代理防火墙的原理

ProxyServer代理防火墙（应用层网关型防火墙）2．代理防火墙的原理

Pr59代理防火墙的原理代理防火墙的原理60代理防火墙的工作过程代理防火墙的工作过程61代理技术的优点

1）代理易于配置。

2）代理能生成各项记录。3）代理能灵活、完全地控制进出流量、内容。

4）代理能过滤数据内容。5）代理能为用户提供透明的加密机制。6）代理可以方便地与其他安全手段集成。

代理技术的优点

1）代理易于配置。62代理技术的缺点1）代理速度较路由器慢。2）代理对用户不透明。3）对于每项服务代理可能要求不同的服务器。4）代理服务不能保证免受所有协议弱点的限制。5）代理防火墙提供应用保护的协议范围是有限的

代理技术的缺点1）代理速度较路由器慢。63动态包过滤防火墙的工作原理动态包过滤防火墙的工作原理64自适应代理防火墙