第11章网络安全防御系统.ppt

什么是防火墙 古代修筑在房屋之间的一道墙,用于防止火势蔓延 Rich Kosinski(Internet Security公司总裁）： 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。 防火墙的原理 Willam Cheswick和 steven Beellovin：防火墙是位于两个（或多个）网络间，实施网间访问控制的一组组件的集合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙； 符合安全政策的数据流才能通过防火墙； 防火墙自身能抗攻击。 一个典型的防火墙使用形态 防火墙示意图 防火墙的概念是广义的 在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。 在物理上，防火墙通常是一组硬件设备——路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。 防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。如：加密和解密——VPN。 防火墙的作用 确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案: – 谁在使用网络 – 他们在网络上做什么 – 他们什么时间使用了网络 – 他们上网去了何处 – 谁要上网没有成功 防火墙的实施策略 一切未被禁止的就是允许的（Yes规则） 确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。 一切未被允许的就是禁止的（No规则） 确定所有可以被提供的服务以及它们的安全性，然后开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。 防火墙的分类 根据防火墙形式分类 根据防火墙结构分类 按照防火墙应用部署分类 根据防火墙实现技术分类 根据防火墙形式分类 软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。 硬件防火墙 基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。 芯片级防火墙 基于专门的硬件平台，速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。 根据防火墙结构分类 单一主机防火墙 最为传统的防火墙，独立于其它网络设备，位于网络边界。一般都集成了两个以上的以太网卡，连接一个以上的内、外部网络。 路由器集成式防火墙 在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙 分布式防火墙 由多个软、硬件组成的系统。渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ，一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。 按照防火墙应用部署分类 网络防火墙 位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离 基于主机的防火墙 安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，在功能上有很大的限制。 根据实现技术分类 包过滤防火墙 状态防火墙 应用网关防火墙 11.1.3 包过滤防火墙 包过滤防火墙是最早出现的、形式最简单的一种防火墙。 通常在路由器上通过访问控制列表来实现，通过检查数据包的报头信息，根据数据包的源地址、目的地址和以上其他的信息组合，按照过滤规则来决定是否允许数据包通过。 包过滤防火墙在根据规则对数据包的相关内容进行匹配时，一般不判断数据包的上下文，只根据当前的数据包内容做决定。 包过滤防火墙通常可以根据源IP地址、目的IP地址、传输层协议、端口号等来进行数据包的过滤 一个包过滤防火墙的应用实例 包过滤防火墙的优缺点 优点： 性能优于其他防火墙，因为它执行的计算较少，并且容易用硬件方式实现； 规则设置简单，通过禁止内部计算机和特定Internet资源连接，单一规则即可保护整个网络； 不需要对客户端计算机进行专门配置。 缺点： 对管理员的知识要求高； 不能阻止应用层的攻击； 只对某些类型的TCP/IP攻击比较敏感； 不支持用户的连接认证； 只