21 第八章 任务1 防火墙技术（2+2学时）

防火墙技术厚德强能、求实创新第八章任务1认识防火墙1防火墙的功能及缺陷2防火墙分类3防火墙的体系结构4防火墙的部署及应用5厚德强能、求实创新1认识防火墙马头墙-徽派建筑代表防火墙有详细的标准防火涂层含水的文字（文渊阁）含水的建筑构件（鱼尾、龙头）主水的星宿屋顶厚德强能、求实创新1认识防火墙防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。外网内网DMZ区防火墙厚德强能、求实创新防火墙应用举例1认识防火墙厚德强能、求实创新1认识防火墙防火墙应用举例厚德强能、求实创新1认识防火墙防火墙应用举例厚德强能、求实创新外部网络内部网络DMZ网络1认识防火墙吞吐量最大连接数会话数1认识防火墙堡垒机1认识防火墙VPN1认识防火墙（1）除非明确允许，否则就禁止（2）除非明确禁止，否则就允许基本策略：1认识防火墙1认识防火墙厚德强能、求实创新包过滤ACL五元组审计与报警远程管理NAT代理远程访问内网VPN访问内网服务DNAT访问外网SNATWebconsole限制主机访问MAC与IP地址绑定URL过滤应用层限制防墙流量控制限制访问流量火2防火墙的功能及缺陷功能一:包过滤2防火墙的功能及缺陷你是谁？你从哪里来？你要去哪里？协议类型源地址源端口目标地址目标端口措施你是谁你来自哪里你要去哪里？2防火墙的功能及缺陷功能一:包过滤功能二:远程控制2防火墙的功能及缺陷202.202.20

0.122功能三:NATNetwork

Address

Transfer2防火墙的功能及缺陷Web22功能四:代理2防火墙的功能及缺陷功能五:VPN2防火墙的功能及缺陷功能六:流量控制2防火墙的功能及缺陷厚德强能、求实创新功能六:流量控制2防火墙的功能及缺陷功能七：MAC与IP地址绑定2防火墙的功能及缺陷功能八：URL过滤黄、赌、毒2防火墙的功能及缺陷1、防火墙可以阻断攻击，但不能消灭攻击源。

2、防火墙不能抵抗最新的未设置策略的攻击漏洞3、防火墙的并发连接数限制容易导致拥塞或者溢出4、防火墙对服务器合法开放的端口的攻击大多无法阻止5、防火墙对待内部主动发起连接的攻击一般无法阻止6、防火墙本身也会出现问题和受到攻击7、防火墙不能防范人为因素的攻击机8、防火墙不能防止数据驱动的攻击外1内4中32防火墙的功能及缺陷厚德强能、求实创新3防火墙分类1、软、硬件形式分类：软件防火墙、硬件防火墙、芯片级防火墙。2、防火墙技术分类：包过滤型防火墙、应用代理型防火墙、电路级防火墙、规则检查防火墙。3、防火墙结构分类：单一主机防火墙、路由器集成式防火墙、分布式防火墙。4、防火墙的应用部署位置分类：边界防火墙、个人防火墙、混合防火墙。5、防火墙性能分类：百兆级防火墙、千兆级防火墙。6、防火墙使用方法分类：网络层防火墙、物理层防火墙、链路层防火墙。防火墙分类

1988–第一代防火墙–包过滤防火墙（Packet-FilterFirewall）

1989–第二代防火墙–状态防火墙（StatefulFirewall）

1991–第三代防火墙–应用层防火墙（ApplicationLayerFirewall）

2004–第四代防火墙–统一威胁管理（UnifiedThreatManagement(UTM)）

2009–第五代防火墙–下一代网关防火墙（Next-GenerationFireWall(NGFW)）3防火墙分类第一代过滤IP地址隔离网络第二代过滤Session会话第三代网络代理NAT第四代具有网络行为检测VPN等功能第五代防病毒、VPN等更加复杂的安全功能叠，应用层网关包过滤防火墙状态防火墙应用代理防火墙UTM防火墙NGFW防火墙物理层数据链路层网络层运输层会话层表示层应用层3防火墙分类双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构防火墙体系结构4防火墙的体系结构双重宿主主机体系结构组成：1.防火墙由一台计算机主机构成；2.该主机至少有两个网络接口；3.两个网络接口一个连接内部网络，一个连接外部网络；4.该主机两个网络接口之间没有路由表，不能直接发送数据从一个网络接口到另外一个网络接口；5.内部网络与外部网络之间的通信必须经过双重宿主主机的过滤和控制；这种结构当中两个网络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。4防火墙的体系结构内网网卡外网网卡防火墙无路由表应用代理筛选外部网络内部网络双重宿主主机体系结构4防火墙的体系结构双重宿主主机体系结构的特性：1、自身安全至关重要（唯一通道），其用户口令控制安全是关键；2、必须支持很多用户的访问（中转站），其性能非常重要。双重宿主主机体系结构的缺点：它是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。双重宿主主机体系结构4防火墙的体系结构屏蔽主机体系结构组成：1.防火墙是一台堡垒主机+一台外部路由器；2.屏蔽主机体系结构防火墙则使用一个路由器，把内部网络和外部网络隔离开；堡垒主机在内部网络里，叫做屏蔽主机防火墙；3.包过滤路由器配置在内部网络和外部网络之间，保证外部系统对内部网络的操作只能经过堡垒主机。堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。4.屏蔽路由器可按如下规则之一进行配置：（1）允许内部主机为了某些服务请求与外部网络上的主机建立直接连接（即允许那些经过数据包过滤的服务）。（2）不允许所有来自外部主机的直接连接（强迫那些主机经由堡垒主机使用代理服务）。

4防火墙的体系结构防火墙应用代理筛选堡垒主机路由策略筛选外部网络内部网络屏蔽主机体系结构4防火墙的体系结构优点：是安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点：是过滤路由器能否正确配置是安全与否的关键：如果路由器被损害，堡垒主机将被穿过，整个网络对入侵者是开放的。4防火墙的体系结构屏蔽主机体系结构屏蔽子网体系结构组成：它在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。所有，该体系结构由外部路由器、内部路由器、周边网络（DMZ区）、堡垒主机四部分构成。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。引入这种结构的主要原因是：堡垒主机是用户网络上最容易受侵袭的机器；通过在周边网络上隔离堡垒主机，能减少堡垒主机被侵入的影响。这种结构中，周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ：DemilitarizedZone）。周边网络的作用是，即使堡垒主机被入侵者控制，它仍可消除对内部网络的侦听。堡垒主机是整个防御体系的核心。堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。外部路由器（访问路由器）的作用主要是保护周边网络和内部网络不受外部网络的侵犯。它把入站的数据包路由到堡垒主机。防止部分IP欺骗，它能分辨出数据包是否真正来自周边网络，而内部路由器不能。内部路由器（阻塞路由器）的作用主要是保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。内部路由器一般与外部路由器应用相同的规则。4防火墙的体系结构防火墙堡垒主机内部网络外部网络周边网络（DMZ区）路由策略筛选路由策略筛选应用代理筛选外部路由器内部路由器4防火墙的