计算机网络安全技术-防火墙技术

第九章防火墙技术

9.1防火墙技术概述9.2防火墙技术9.3防火墙设计实例本章学习目标 〔1〕了解防火墙的定义、开展简史、目的、功能、局限性及其开展动态和趋势。〔2〕掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。〔3〕熟悉防火墙的产品选购和设计策略。9.1防火墙技术概述 9.1.1防火墙的定义9.1.2防火墙的开展简史9.1.3设置防火墙的目的和功能9.1.4防火墙的局限性9.1.5防火墙技术开展动态和趋势9.1.1防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的平安保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息平安效劳、实现网络和信息平安的根底设施。图9.1为防火墙示意图。图9.1防火墙示意图9.1.2防火墙的开展简史 第一代防火墙：采用了包过滤〔PacketFilter〕技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。图9.2防火墙技术的简单开展历史9.1.3设置防火墙的目的和功能 〔1〕防火墙是网络平安的屏障〔2〕防火墙可以强化网络平安策略〔3〕对网络存取和访问进行监控审计〔4〕防止内部信息的外泄9.1.4防火墙的局限性 〔1〕防火墙防外不防内。〔2〕防火墙难于管理和配置，易造成平安漏洞。〔3〕很难为用户在防火墙内外提供一致的平安策略。〔4〕防火墙只实现了粗粒度的访问控制。9.1.5防火墙技术开展动态和趋势 〔1〕优良的性能〔2〕可扩展的结构和功能〔3〕简化的安装与管理〔4〕主动过滤〔5〕防病毒与防黑客9.2防火墙技术 9.2.1防火墙的技术分类9.2.2防火墙的主要技术及实现方式9.2.3防火墙的常见体系结构9.2.1防火墙的技术分类 1．包过滤防火墙2．代理防火墙3．两种防火墙技术的比照1．包过滤防火墙〔1〕数据包过滤技术的开展：静态包过滤、动态包过滤。〔2〕包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。〔3〕包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些平安策略；平安性较差；数据包工具存在很多局限性。图9.3包过滤处理图9.4静态包过滤防火墙图9.5动态包过滤防火墙〔1〕代理防火墙的原理：代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图9.6所示。2．代理防火墙〔2〕应用层网关型防火墙：主要保存Internet上那些最常用和最近访问过的内容：在Web上，代理首先试图在本地寻找数据，如果没有，再到远程效劳器上去查找。为用户提供了更快的访问速度，并且提高了网络平安性。应用层网关的工作原理如图9.7所示。应用层网关防火墙最突出的优点就是平安，缺点就是速度相比照较慢。〔3〕电路层网关防火墙在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图9.8所示。电路层网关防火墙的工作原理如图9.9所示电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。〔4〕代理技术的优点1〕代理易于配置。2〕代理能生成各项记录。3〕代理能灵活、完全地控制进出流量、内容。4〕代理能过滤数据内容。5〕代理能为用户提供透明的加密机制。6〕代理可以方便地与其他平安手段集成。〔5〕代理技术的缺点1〕代理速度较路由器慢。2〕代理对用户不透明。3〕对于每项效劳代理可能要求不同的效劳器。4〕代理效劳不能保证免受所有协议弱点的限制。5〕代理不能改进底层协议的平安性。图9.6代理的工作方式图9.7应用层网关防火墙图9.8电路层网关图9.9电路层网关防火墙表9.1两种防火墙技术

3．两种防火墙技术的比照9.2.2防火墙的主要技术及实现方式1．双端口或三端口的结构2．透明的访问方式3．灵活的代理系统4．多级的过滤技术5．网络地址转换技术〔NAT〕6．网络状态监视器7．Internet网关技术8．平安效劳器网络〔SSN〕9．用户鉴别与加密10．用户定制效劳11．审计和告警12．应用网关代理13．回路级代理效劳器14．代管效劳器15．IP通道〔IPTunnels〕16．隔离域名效劳器〔SplitDomainNameSever〕17．邮件转发技术〔MailForwarding〕9.2.3防火墙的常见体系结构 1．屏蔽路由器(如图9.10所示)

2．双穴主机网关(如图9.11所示)

3．屏蔽主机网关(如图9.12所示)4．被屏蔽子网(如图9.13所示)

图9.10屏蔽路由器示意图图9.11双穴主机网关示意图图9.12屏蔽主机网关示意图图9.13被屏蔽子网防火墙示意图9.3防火墙设计实例 9.3.1防火墙产品选购策略 9.3.2典型防火墙产品介绍 9.3.3防火墙设计策略9.3.4Windows2000环境下防火墙及NAT的实现9.3.1防火墙产品选购策略1．防火墙的平安性2．防火墙的高效性3．防火墙的适用性4．防火墙的可管理性5．完善及时的售后效劳体系9.3.2典型防火墙产品介绍 1．3ComOfficeConnectFirewall新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的平安。

OfficeConnectInternetFirewall25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝效劳〞攻击，它还可以限制局域网用户对Internet的不恰当使用。

OfficeConnectInternetFirewallDMZ可支持多达100个局域网用户，这使局域网上的公共效劳器可以被Internet访问，又不会使局域网遭受攻击。

3Com公司所有的防火墙产品很容易通过GettingStartedWizard进行安装。它们使整个办公室可以共享ISP提供的一个IP地址，因而节省开支。2．CiscoPIX防火墙〔1〕实时嵌入式操作系统。〔2〕保护方案基于自适应平安算法〔ASA〕，可以确保最高的平安性。

〔3〕用于验证和授权的“直通代理〞技术。

〔4〕最多支持250000个同时连接。

〔5〕URL过滤。〔6〕HPOpenView集成。〔7〕通过电子邮件和寻呼机提供报警和告警通知。

〔8〕通过专用链路加密卡提供VPN支持。

〔9〕符合委托技术评估方案〔TTAP〕，经过了美国平安事务处〔NSA〕的认证，同时通过中国公安部平安检测中心的认证〔PIX520除外〕。9.3.3防火墙设计策略 1．防火墙的系统环境取消危险的系统调用；限制命令的执行权限；取消IP的转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个平安内核等等。2．设置防火墙的要素高级的网络策略定义允许和禁止的效劳以及如何使用效劳，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的效劳。3．效劳访问策略允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和效劳；允许内部用户访问指定的Internet主机和效劳。4．防火墙设计策略允许任何效劳除非被明确禁止；禁止任何效劳除非被明确允许。第一种的特点是平安但不好用，第二种是好用但不平安，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。9.3.4Windows2000环境下防火墙及NAT的实现 1．实现方法通过网络地址转换把内部地址转换成统一的外部地址，防止了使用代理效劳所引起的账号平安问题和代理效劳端口被利用的危险。同时为了防止各种代理效劳端口探测和其他各种常用效劳端口的探测，可以启用MicrosoftProxyServer的动态包过滤功能和IP分段过滤，到达端口隐形的效果。2．案例环境假定有一台Web效劳器〔WWW〕，地址为，其完整域名为：，对应解析的IP地址为，，在其上装有两块网卡，命名为本地连接1和本地连接2，它们的IP地址分别为：和。3．MSWindows2000NAT网络地址转换的实现〔1〕路由和远程访问效劳〔2〕网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。表9.2地址和特殊端口配置表9.3内部地址欺骗过滤配置表9.4外部地址欺骗过滤配置4．MSProxyServer动态包过滤和反