防火墙技术.ppt

1、安全防护技术安全防护技术防火墙技术防火墙技术 本节主要内容：1.防火墙概述防火墙概述2.防火墙的实现技术防火墙的实现技术 3.防火墙体系结构防火墙体系结构 4.个人防火墙个人防火墙 FirewallInternet4.3 4.3 防火墙技术防火墙技术一、防火墙概述一、防火墙概述 防火墙原是建筑物里用来防止火灾蔓延的隔断墙，在这里引防火墙原是建筑物里用来防止火灾蔓延的隔断墙，在这里引申为保护内部网络安全的一道防护墙，是网络安全政策的有机组申为保护内部网络安全的一道防护墙，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实成部分，它通过控制和监测网络之间的信息交换和访问

2、行为来实现对网络安全的有效管理。现对网络安全的有效管理。u内部和外部之间的所有网络数据流必须经过防火墙；内部和外部之间的所有网络数据流必须经过防火墙；u只有符合安全政策的数据流才能通过防火墙；只有符合安全政策的数据流才能通过防火墙；u防火墙自身能抗攻击；防火墙自身能抗攻击；防火墙防火墙 =硬件硬件 +软件软件 +控制策略控制策略InternetIntranet设设计计目目标标防火墙的基本原理防火墙的基本原理 防火墙是控制从网络外部访问网络的设备，通常位于内外与防火墙是控制从网络外部访问网络的设备，通常位于内外与InternetInternet的连接处，充当网络的唯一入口（出口），用来加强网络的

3、连接处，充当网络的唯一入口（出口），用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，从而保护内部网络设备。防火墙内部网络，访问内部网络资源，从而保护内部网络设备。防火墙根据过滤规则来判断是否允许某个访问请求。根据过滤规则来判断是否允许某个访问请求。防火墙主要功能防火墙主要功能u过滤进、出网络的数据过滤进、出网络的数据u管理进、出网络的访问行为管理进、出网络的访问行为u封堵某些禁止的业务封堵某些禁止的业务u记录通过防火墙的信息内容和活动记录通过防火墙的信息内容和活动u对网络攻击进行检测和报警对

4、网络攻击进行检测和报警防火墙的优点防火墙的优点 1.防止易受攻击的服务防止易受攻击的服务通过过滤不安全的服务来降低子网上主系统的风险。通过过滤不安全的服务来降低子网上主系统的风险。可可以以禁禁止止某某些些易易受受攻攻击击的的服服务务(如如NFS)NFS)进进入入或或离离开开受保护的子网。受保护的子网。可可以以防防护护基基于于路路由由选选择择的的攻攻击击，如如源源路路由由选选择择和和企企图通过图通过ICMPICMP改向把发送路径转向遭致损害的网点。改向把发送路径转向遭致损害的网点。2.控制访问网点系统控制访问网点系统 可可以以提提供供对对系系统统的的访访问问控控制制。如如允允许许从从外外部部访访

5、问问某某些些主主机机(Mail(Mail ServerServer和和Web Web Server)Server)，同同时时禁禁止止访访问问另外的主机。另外的主机。3.集中安全性集中安全性 防防火火墙墙定定义义的的安安全全规规则则可可用用于于整整个个内内部部网网络络系系统统，而无须在内部网每台机器上分别设立安全策略。而无须在内部网每台机器上分别设立安全策略。防火墙的优点防火墙的优点4.增强的保密、强化私有权增强的保密、强化私有权 使使用用防防火火墙墙系系统统，站站点点可可以以防防止止finger finger 以以及及DNSDNS域域名名服服务务。FingerFinger能能列列出出当当前前用

6、用户户，上上次次登登录录时时间间，以及是否读过邮件等。以及是否读过邮件等。5.有关网络使用、滥用的记录和统计有关网络使用、滥用的记录和统计 防防火火墙墙可可以以记记录录各各次次访访问问，并并提提供供有有关关网网络络使使用用率等有价值的统计数字。率等有价值的统计数字。6.政策的执行政策的执行 防火墙可以提供实施和执行网络访问政策的工具。防火墙可以提供实施和执行网络访问政策的工具。防火墙的优点防火墙的优点防火墙的缺点防火墙的缺点1.不能防止内部攻击不能防止内部攻击 防火墙可以禁止系统用户经过网络连接发送专有防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放的信

7、息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。全和用户教育、管理、制度等。防火墙的缺点防火墙的缺点2.不能防范不通过它的联接不能防范不通过它的联接 防火墙能够有效地防止通过它进行传输信息，然防火墙能够有效地防

8、止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。么防火墙绝对没有办法阻止入侵者进行拨号入侵。3.不能防止全部的威胁不能防止全部的威胁 只能防备已知的威胁，不能防备所有新的威胁。只能防备已知的威胁，不能防备所有新的威胁。4.防火墙不能防范病毒防火墙不能防范病毒 防火墙不能防止感染了病毒的软件或文件的传输。防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。这只能在每台主机上装反病

9、毒软件。防火墙的缺点防火墙的缺点5.防火墙不能防止数据驱动式攻击防火墙不能防止数据驱动式攻击 当有些表面看来无害的数据被邮寄或复制到内部网当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着特别是随着JavaJava、JavaScriptJavaScript、ActiveXActiveX的应用，这一的应用，这一问题更加突出。问题更加突出。第一代防火墙第一代防火墙：19831983年第一代防火墙技术出现，它几乎年第一代防火墙技术出现，它几乎是与路由器同时问世的。它采用了包过滤（是与路由器同时问世

10、的。它采用了包过滤（Packet Packet filterfilter）技术，可称为简单包过滤（静态包过滤）防火）技术，可称为简单包过滤（静态包过滤）防火墙。墙。第二代防火墙第二代防火墙：19911991年，贝尔实验室提出了第二代防火年，贝尔实验室提出了第二代防火墙墙应用型防火墙（代理防火墙）的初步结构。应用型防火墙（代理防火墙）的初步结构。防火墙的发展过程防火墙的发展过程第三代防火墙：第三代防火墙：19921992年，年，USCUSC信息科学院开发出了基于信息科学院开发出了基于动态包过滤（动态包过滤（Dynamic packet filterDynamic packet filter）技术

11、的第三代防火）技术的第三代防火墙，后来演变为目前所说的状态检测（墙，后来演变为目前所说的状态检测（Stateful Stateful inspectioninspection）防火墙。）防火墙。19941994年，以色列的年，以色列的CheckPointCheckPoint公司公司开发出了第一个采用状态检测技术的商业化产品。开发出了第一个采用状态检测技术的商业化产品。防火墙的发展过程防火墙的发展过程第四代防火墙：第四代防火墙：1994.31994.3年，年，NAINAI公司推出了一种自公司推出了一种自适应代理（适应代理（Adaptive proxyAdaptive proxy）防火墙技术，并在

12、）防火墙技术，并在其产品其产品Gauntlet Firewall for NTGauntlet Firewall for NT中得以实现，给中得以实现，给代理服务器防火墙赋予了全新的意义。代理服务器防火墙赋予了全新的意义。防火墙的发展过程防火墙的发展过程194.30 1990 2000防火墙的发展阶段防火墙的发展阶段包过滤包过滤 代理服务代理服务 自适应代理自适应代理动态包过滤动态包过滤下图表示了防火墙技术的简单发展阶段下图表示了防火墙技术的简单发展阶段防火墙的发展过程防火墙的发展过程二、防火墙的实现技术当前所采用的防火墙技术共可分为三类：当前所采用的防火墙技术共可分为三类：u包过滤防火墙包过

13、滤防火墙u应用级网关应用级网关u状态检测防火墙状态检测防火墙包过滤防火墙包过滤防火墙的工作原理包过滤防火墙的工作原理 对对于于每每个个进进来来的的包包，适适用用一一组组规规则则，然然后后决决定定转转发发或或者者丢丢弃该包，往往配置成双向的弃该包，往往配置成双向的(出站和入站出站和入站)如何过滤如何过滤 过过滤滤的的规规则则以以IP和和传传输输层层的的头头中中的的域域(字字段段)为为基基础础，包包括括源源和目标和目标IP地址、地址、IP协议域、源和目标端口号协议域、源和目标端口号 事事先先建建立立一一组组规规则则，根根据据IP包包是是否否匹匹配配规规则则中中指指定定的的条条件件来来作出决定。作出

14、决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略如果所有规则都不匹配，则根据缺省策略安全缺省策略安全缺省策略两种基本策略，或缺省策略两种基本策略，或缺省策略u一切未被禁止的就是允许的一切未被禁止的就是允许的管理员必须针对每一种新出现的攻击，制定新的规管理员必须针对每一种新出现的攻击，制定新的规则则需要确定那些被认为是不安全的服务，禁止其访问；需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境

15、，可以为用户提供更构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。多的服务，其缺点在于很难提供可靠的安全防护。u一切未被允许的就是禁止的一切未被允许的就是禁止的u比较保守比较保守u根据需要，逐渐开放根据需要，逐渐开放u需要确定所有可以被提供的服务以及它们的安全性，需要确定所有可以被提供的服务以及它们的安全性，然后，开放这些服务，并将所有其他未被列入的服务然后，开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。优点是可以造成一种十分安全排除在外，禁止访问。优点是可以造成一种十分安全的环境，其缺点在于用户所能使用的服务范围受到很的环境，其缺点在于

16、用户所能使用的服务范围受到很大限制。大限制。拒绝拒绝允许允许 允许允许拒绝拒绝包过滤防火墙包过滤防火墙在网络层上进行监测在网络层上进行监测u并没有考虑连接状态信息通常在路由器上实现通常在路由器上实现u实际上是一种网络层的访问控制机制优点：优点：u实现简单u对用户透明u效率高缺点：缺点：u正确制定规则并不容易u不可能引入认证机制安全缺省策略安全缺省策略两种基本策略，或缺省策略两种基本策略，或缺省策略u一切未被禁止的就是允许的u管理员必须针对每一种新出现的攻击，制定新的规则u需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。这种方法构成了一种更为灵活的应用环境，可以为用户提供更多的服务，其缺点在于很难提供可靠的安全防护。u一切未被允许的就是禁止的u比较保守u根据需要，逐渐开放u需要确定所有可以被提供的服务以及它们的安全性，然后，开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。优点是可以造成一种十分安全的环境，其缺点在于用户所能使用的服务范围受到很大限制。包过滤防火墙包过滤防火墙在网络层上进行监测在网络层上进行监测u并没有考虑连接状态信息通常在路