信息安全技术与应用（高学勤）课件 4.1 防火墙

第1节防火墙第4章目

录01防火墙简介02防火墙关键技术03防火墙部署方式及应用01防火墙简介防火墙的概念注：关于防火墙的内容介绍，请参阅第四章/防火墙防护动画.mp4什么是防火墙？一种位于内部网络与外部网络之间的网络安全系统，依照访问控制策略，允许或限制传输的数据通过。防火墙产品定义对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。

——GB/T20281-2020对外服务器DMZ防火墙的功能防火墙的主要功能访问控制隔离记录为内部网络提供双向保护入的方向上

阻止外部网络对本地网络的非法访问和入侵；出的方向上

控制本地网络对外部不良网络进行访问或者是未经允许的数据输出。出入防火墙Internet不可信区外网，默认不安全可信区需要保护区域防火墙的分类系统自带（WindowsDefender）360安全卫士腾讯电脑管家火绒安全按防火墙的形态软件防火墙防火墙的分类按防火墙的形态硬件防火墙深信服下一代防火墙AF奇安信网神新一代智慧防火墙启明星辰天清汉马T系列防火墙天融信NGFW®下一代防火墙360下一代防火墙安恒明御®安全网关防火墙的分类按技术实现包过滤防火墙作用在网络层，根据分组包头源目的地址、源目的端口、协议类型等标志确定是否允许数据包通过。状态检测防火墙状态监测对每一个包的检查不仅根据ACL表，更考虑了数据包是否符合会话所处的状态，因此提供了对传输层的完整的控制能力。应用代理防火墙Web应用防火墙充当内部计算机与外部主机连接的中间者。作用是隐藏内部主机的地址和防止外部不正常的连接。Web应用防火墙主要用于应用层的Web攻击防护、网页保护、负载均衡等作用。防火墙的分类按体系结构单宿主机防火墙保护单台主机双宿主机防火墙多宿主机防火墙有两个网络接口，一个连接内部网络，另一个连接外部网络可以连接多个网络，实现多个网络之间的访问控制按应用部署位置分类其他分类方法边界防火墙个人防火墙混合防火墙按性能分类百兆级防火墙、千兆级防火墙按使用方法分类网络层防火墙物理层防火墙链路层防火墙02防火墙关键技术防火墙的关键技术IP包头TCP/UDP头数据判断部分源目标端口操作协议HostAHostC123允许TCPHostBHostC456阻止UDP数据包数据包拆数据包查询控制策略根据策略决定如何处理数据包数据包数据包HostBHostCHostA包过滤技术根据数据包首部信息决定处理方式。包过滤的判断信息网络层IP地址（源/目的地址）传输层端口（源/目的端口）协议协议类型状态检测技术基于连接的状态检测机制，将属于同一连接的包作为一个整体数据流来看待。包过滤的判断信息IP源/目的地址TCP/UDP源和目的端口包输入接口TCP通讯的连接状态ICMP包类型封装协议包输出接口UDP/ICMP通讯的通信状态数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层

在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文防火墙的关键技术网络地址转换技术网络地址转换（NetworkAddressTranslation），简称NAT。将一个地址域转换成另一个地址域。NAT对终端用户透明。以下地址为保留（私有）地址10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255防火墙的关键技术自适应代理技术自适应代理技术(Adaptiveproxy)是应用代理技术的一种，它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。特点根据用户定义安全规则动态“适应”传输中的分组流量。高安全要求：在应用层进行检查明确会话安全细则：链路层数据包转发兼有高安全性和高效率。防火墙的关键技术03防火墙部署方式及应用防火墙的部署方式所有接口都配置IP地址；各接口所在的安全区域是三层区域，接口连接的外部用户属于不同的子网；报文在三层区域的接口间进行转发时，根据报文的IP地址来查找路由表。10.100.10.110.100.10.0/24PC服务器内部网络202.10.0.1PC服务器外部网络202.10.0.0/24路由模式所有接口都不能配置IP地址；防火墙两端的IP地址同属一个子网；报文进行转发时，需要根据报文的MAC地址来寻找出接口表。10.100.10.0/24PC服务器内部网络10.100.10.1Internet透明模式防火墙的部署方式介于路由模式和透明模式既可以配置接口工作在路由模式（接口具有IP地址），又可以配置接口工作在透明模式（接口无IP地址）。10.100.10.0/24PC服务器内部网络10.100.10.0/24PC服务器内部网络VRRPHUB混合模式注（1）防火墙两端的IP地址同属一个子网（2）VRRP：虚拟路由冗余协议，启用VRRP的接口需要配置IP地址防火墙的部署方式防火墙内部网络192.168.1.0/24网关192.168.1.254Internet可信网络外部网络202.101.10.0/24网关：202.101.10.1Internet不可信的网络单防火墙（无DMZ）部署方式区域划分可信网络、不可信网络特点结构简单，易于实施192.168.1.254/24202.101.10.1/24防火墙的部署方式不可信的网络Internet路由器可信网络Intranet防火墙注：关于防火墙配置操作步骤，请参阅第四章/配置防火墙规则实现流量过滤.mp4单防火墙（DMZ）部署方式区域划分特点可信网络、不可信网络、DMZ区提供对外服务安全区域防火墙的部署方式DMZ非军事化区(DMZ)不可信的网络Internet非军事化区(DMZ)可信网络防火墙防火墙双防火墙部署方式优点缺点能提供更为安全的系统结构实施复杂性和费用较高防火墙的部署方式防火墙的应用场景某高校网络安全拓扑某企业网络安全拓扑防火墙的应用场景防火墙的关键技术包括：包过滤技术、状态检测技术、网络地址转换技术。常见防火墙的部署方式有：路由模