计算机网络安全第8章课件

第八章防火墙技术本章内容：第一节防火墙简介第二节防火墙的类型

第三节防火墙配置

第四节防火墙系统

第五节防火墙的选购和使用

第六节防火墙产品介绍

7/23/20231防火墙技术知识点防火墙的概念、功能特点和安全性防火墙的分类防火墙配置及防火墙系统防火墙的选购、安装和维护7/23/20232防火墙技术难点

防火墙系统防火墙的选购、安装和维护7/23/20233防火墙技术要求熟练掌握以下内容：防火墙的概念、功能特点和安全性防火墙的分类、防火墙的配置防火墙的选购、安装和维护了解以下内容：

防火墙系统常用防火墙产品7/23/20234防火墙技术第一节防火墙简介

防火墙的概念防火墙的功能特点防火墙的安全性7/23/20235防火墙技术8.1.1防火墙的概念防火墙是具有以下特征的计算机硬件或软件：（1）由内到外和由外到内的所有访问都必须通过它；（2）只有本地安全策略所定义的合法访问才被允许通过它；（3）防火墙本身无法被穿透。通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是通过软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。7/23/20236防火墙技术8.1.2防火墙的功能特点1.保护那些易受攻击的服务2.控制对特殊站点的访问3.集中化的安全管理4.对网络访问进行记录和统计7/23/20237防火墙技术8.1.3防火墙的安全性设计

1.用户认证对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。7/23/20238防火墙技术2.域名服务防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自Internet主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以分辨Internet上的主机。7/23/20239防火墙技术3.邮件处理电子邮件是内部网络到Internet连通的一个主要业务，是Internet上用户之间交换信息时广泛采用的手段，一般采用SMTP（简单邮件传送协议――SimpleMailTransferProtocol）。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通，再与Internet上用户连通。7/23/202310防火墙技术4.IP层的安全性IP层的安全包括两个功能：认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发送的。此外，认证机构还要保证该数据组在传送中未被篡改。保密性保证通信节点对所传消息进行加密，防止第三者窃听。7/23/202311防火墙技术5.防火墙的IP安全性防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过Internet相互连接而成。这些网之间的数据保密性和完整性可以通过IP的安全机制实现。7/23/202312防火墙技术第二节防火墙的类型

包过滤防火墙

代理服务器防火墙

状态监视器防火墙7/23/202313防火墙技术8.2.1包过滤防火墙1.包过滤防火墙的工作原理采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。7/23/202314防火墙技术2.包过滤防火墙的优缺点包过滤防火墙最大的优点是：价格较低、对用户透明、对网络性能的影响很小、速度快、易于维护。但它也有一些缺点：包过滤配置起来比较复杂、它对IP欺骗式攻击比较敏感、它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。7/23/202315防火墙技术8.2.2代理服务器防火墙1.代理服务器防火墙的工作原理代理服务器运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。7/23/202316防火墙技术2.代理服务器防火墙的优缺点代理服务器防火墙的优点：可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；可用于实施较强的数据流监控、过滤、记录和报告等。代理服务器防火墙的缺点：使访问速度变慢，因为它不允许用户直接访问网络；应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，这就意味着用户可能会花费一定的时间等待新服务器软件的安装；并不是所有的Internet应用软件都可以使用代理服务器。7/23/202317防火墙技术8.2.3状态监视器防火墙

1.状态监视器防火墙的工作原理这种防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。7/23/202318防火墙技术2.状态监视器防火墙的优缺点状态监视器的优点：（1）检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。（2）它会监测RPC和UDP之类的端口信息，而包过滤和代理网关都不支持此类端口。（3）性能坚固状态监视器的缺点：（1）配置非常复杂。（2）会降低网络的速度。7/23/202319防火墙技术第三节防火墙配置服务器置于防火墙之内服务器置于防火墙之外服务器置于防火墙之上7/23/202320防火墙技术

内部网Web

服务器防火墙Internet8.3.1服务器置于防火墙之内如图所示，将Web服务器装在防火墙内的好处是它得到了安全保护，不容易被黑客闯入。

7/23/202321防火墙技术

内部网Web

服务器防火墙Internet如图所示，为保证内部网络的安全，将Web服务器完全置于防火墙之外是比较合适的。在这种模式中，Web服务器不受保护，但内部网则处于保护之下。8.3.2服务器置于防火墙之外7/23/202322防火墙技术8.3.3服务器置于防火墙之上

内部网Web防火墙和服务器Internet如图所示，有些管理者试图在防火墙机器上运行Web服务器，以此增强Web站点的安全性。7/23/202323防火墙技术第四节防火墙系统

屏蔽主机（ScreenedHost）防火墙

屏蔽子网（ScreenedSubnet）防火墙7/23/202324防火墙技术8.4.1屏蔽主机（ScreenedHost）防火墙

屏蔽主机防火墙由包过滤路由器和堡垒主机（BastionHost）组成，它所提供的安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。

7/23/202325防火墙技术屏蔽主机防火墙的原理和实现过程：堡垒主机位于内部网络上，而包过滤路由器则放置在内部网络和外部网络之间。在路由器上设置相应的规则，使得外部系统只能访问堡垒主机。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问外部网络，或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。对路由器的过滤规则进行配置，使得其只接收来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务，从而加强内部用户对外部Internet访问的管理。

7/23/202326防火墙技术8.4.2屏蔽子网（ScreenedSubnet）防火墙

屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、Modem组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军事区”（DeMilitarisedZone，DMZ）

7/23/202327防火墙技术

防火墙的选购策略

防火墙的安装

防火墙的维护

第五节防火墙的选购和使用

7/23/202328防火墙技术8.5.1防火墙的选购策略

1.购买防火墙之前，首先要知道防火墙的最基本性能2.选购防火墙前，还应认真制定安全政策，也就是要制定一个周密计划。3.在满足实用性、安全性的基础上，还要考虑经济性7/23/202329防火墙技术8.5.2防火墙的安装

安装防火墙最简单的方法是使用可编程路由器作为包过滤，此法是目前用得最普通的网络互连安全结构。路由器根据源/目的地址或包头部的信息，有选择地使数据包通过或阻塞。安装防火墙的第二种方法是，把防火墙安装在一台双端口的主机系统中，连接内部网络。而不管是内部网络还是外部网络均可访问这台主机，但内部网上的主机不能直接进行通信。第三种方法是把防火墙安装在一个公共子网中，其作用相当于一台双端口的主机。7/23/202330防火墙技术第四种方法是采用应用与线路入口及信息包过滤来安装防火墙。所谓应用与线路入口，就是把所有的包都按地址送给入口上的用户级应用程序，入口在两点间传送这些包。对于多数应用入口，需要一个附加的包过滤机制来控制、筛选入口与网络之间的信息流。典型的配置包括两个路由器，其中之一作设防主站，起两者间的应用入口的作用。而应用入口对用户、对应用程序、对运行的入口主站均不透明。对用户而言，必须对他们使用的每一个应用程序安装一个特定的客户机应用程序，而带有入口的每一个应用程序均是一段独立的专用软件，需要一组自己的管理工具和许可才行。7/23/202331防火墙技术8.5.3防火墙的维护

对网络管理维护人员的要求：第一，必须经过一定水平的业务培训，对自己的计算机网络系统，包括防火墙在内的结构配置要清楚；第二，实施定期的扫描和检查，发现系统结构出了问题时能及时排除和恢复；第三，保证系统监控及防火墙之间的通信线路能够畅通无阻，以便对安全问题进行报警、恢复、处理其他的安装信息等；第四，保证整个系统处于优质服务状态，必须全天候的对主机系统进行监控、管理和维护，达到万无一失。7/23/202332防火墙技术第六节防火墙产品介绍

CheckPointFirewall-1AXENTRaptorCyberGuardFirewallCiscoPIXFirewall520

7/23/202333防火墙技术8.6.1CheckPointFirewall-1

CheckPoint公司推出的Firewall-1共支持两个平台：一个是Unix平台；另一个是WindowsNT平台。Firewall-1具有一种很特别的结构，称为多层次状态监视结构。这种结构让Firewall-1可以对复杂的网络应用软件进行快速支持。也因为这个功能，使得CheckPoint在防火墙产品的厂商中位居领导地位。有很多第三方厂商对它进行支持。而CheckPoint也提供了一套APL供开发者使用，以便开发更多的辅助工具。7/23/202334防火墙技术8.6.2AXENTRaptor

Raptor是代理型防火墙中最好的。它的界面易读、易操作，在实时日志方面，仅次于Firewall-1。Raptor的优势在于其代理的深度和广度。只有它提供对MicrosoftNT服务器的保护。它还具有SQL*NET代理功能，可控制对Oracle数据库的访问。Raptor在SMTP方面做得很好，而且它是唯一可防止缓存溢出的防火墙，它可以代理NNTP（网络新闻传输协议）和NTP（网络时间协议）。

7/23/202335防火墙技术8.6.3CyberGuardFirewall

CyberGuardFirewall是由CyberGuard公司制作的，其主要结构是基于CX/SX多层式安全操作系统，它的操作相当容易上手。CyberGuardFirewall跟其他防火墙产品不同的地方在于，它提供一种可以安装在防火墙上的界面卡。通