计算机网络基础 第11章 防火墙技术

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
以前当构筑和使用木结构房屋的时候,为防止火灾的 发生和蔓延,人们将坚固的石块堆砌在房屋周围作为 屏障,这种防护构筑物被称为防火墙(FireWall)。
如今,人们借助这个概念,使用“防火墙”来保护敏 感的数据不被窃取和篡改。不过,这种防火墙是由先 进的计算机系统构成的。
防火墙犹如一道护栏隔在被保护的内部网与不安全的 非信任网络之间,用来保护计算机网络免受非授权人 员的骚扰与黑客的入侵。
下表是常见的包过滤转发控制表。
表中的规则1、规则2允许外部主机访问本站点的WWW 服务器,规则3、规则4允许内部主机访问外部的WWW 服务器。由于服务器可能使用非标准端口号,给防火 墙允许的配置带来一些麻烦。
实际使用的防火墙都直接对应用协议进行过滤,即管 理员可在规则中指明是否允许HTTP通过,而不是只关 注80端口。
如果检查数据包所有的条件都符合规则,则允许通过;如果检查 到数据包的条件不符合规则,则阻止通过并将其丢弃。
数据包检查是对网络层的首部和传输层的首部进行过 滤,一般要检查下面几项。
(1)源IP地址。 (2)目的IP地址。 (3)TCP/UDP源端口。 (4)TCP/UDP目的端口。 (5)协议类型(TCP包、UDP包、ICMP包)。 (6)TCP报头中的ACK位。 (7)ICMP消息类型。
(2)目前,防火墙还不能非常有效地防范感染了病毒 的软件和文件的传输。
(3)防火墙管理控制的是内部网络与外部网络之间的 数据流,所以它不能防范来自内部网络的攻击。防火 墙是用来防范外网攻击的,也就是防范黑客攻击的。 内部网络攻击有好多都是攻击交换机或者攻击网络内 部其他计算机的,根本不经过防火墙,所以防火墙就 失效了。
防火墙可以是非常简单的过滤器,也可能是精心配置 的网关,但它们的原理是一样的,都是监测并过滤所 有内部网和外部网之间的信息交换。
防火墙通常是运行在一台单独计算机之上的一个特别 的服务软件,它可以识别并屏蔽非法的请求,保护内 部网络敏感的数据不被偷窃和破坏,并记录内外网通 信的有关状态信息日志,如通信发生的时间和进行的 操作等。
防火墙具有如下作用:
① 防火墙是网络安全的屏障。由于只有经过精心选择 的应用协议才能通过防火墙,所以防火墙(作为阻塞 点、控制点)能极大地提高内部网络的安全性,并通 过过滤不安全的服务而降低风险,使网络环境变得更 安全。
② 防火墙可以强化网络安全策略。通过以防火墙为中 心的安全方案配置,能将所有安全软件(如口令、加 密、身份认证、审计等)配置在防火墙上。与将网络 安全问题分散到各个主机上相比,防火墙的集中安全 管理更经济。
③ 对网络存取和访问进行监控审计。如果所有的访问都经过 防火墙,那么,防火墙就能记录下这些访问并做出日志记 录,同时也能提供网络使用情况的统计数据。当发生可疑 动作时,防火墙能进行适当的报警,并提供网络是否受到 探测和攻击的详细信息。另外,收集一个网络的使用和误 用情况也是非常重要的。
④ 防止内部信息的外泄。通过利用防火墙对内部网络的划分, 可实现对内部网络重点网段的隔离,从而限制局部重点或 敏感网络安全问题对全局网络造成的影响。
实际上,包过滤防火墙一般允许网络内部的主机直接 访问外部网络,而外部网络上的主机对内部网络的访 问则要受到限制。
Internet上的某些特定服务一般都使用相对固定的端 口号,因此路由器在设置包过滤规则时指定,对于某 些端口号允许数据包与该端口交换,或者阻断数据包 与它们的连接。
包过滤规则定义在转发控制表中,数据包遵循自上而 下的次序依次运用每一条规则,直到遇到与其相匹配 的规则为止。对数据包可采取的操作有转发、丢弃、 报错等。根据不同的实现方式,包过滤可以在进入防 火墙时进行,也可以在离开防火墙时进行。
第11章 防火墙技术
项目1 双机互连对等网络的组建
Fra Baidu bibliotek
【学习目标】
了解防火墙的功能和类型。 掌握包过滤防火墙技术。 了解防火墙的应用代理技术、状态检测技术。 掌握Windows防火墙中网络位置的作用。 掌握Windows防火墙中入站、出站和连接安全规则
的创建方法。
11.1 防火墙概述
再者,隐私是内部网络非常关心的问题,一个内部网络中 不引人注意的细节可能包含了有关安全的线索而引起外部 攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏 洞。使用防火墙就可以隐蔽那些透漏内部细节的服务。
防火墙也有局限性,存在着一些防范不到的地方。
(1)防火墙不能防范不经过防火墙的攻击(例如,如 果允许从受保护的网络内部向外拨号,一些用户就可 能形成与因特网的直接连接)。
防火墙技术是一种有效的网络安全机制,它主要用于确定哪些内 部服务允许外部访问,以及允许哪些外部服务访问内部服务。其 基本准则就是:一切未被允许的就是禁止的;一切未被禁止的就 是允许的。
防火墙是建立在现代通信网络技术和信息安全技术基础上的应用 性安全技术,并越来越多地应用于专用网络(内网)与公用网络 (外网)的互联环境之中。
防火墙应该是不同网络或网络安全域之间信息的唯一出入口,能 根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流, 且本身具有较强的抗攻击能力,是提供信息安全服务,实现网络 和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是 一个分析器,它能有效监控内部网和外部网之间的任 何活动,保证了内部网络的安全。其结构如图13-1所 示。
11.2 防火墙技术原理
11.2.1 包(分组)过滤防火墙
包过滤防火墙是目前使用最为广泛的防火墙,它工作在网络层和 传输层,通常安装在路由器上,对数据包进行过滤选择。
通过检查数据流中每一数据包的源IP地址、目的IP地址、所用端 口号、协议状态等参数,或它们的组合与用户预定的访问控制表 中的规则进行比较,来确定是否允许该数据包通过。
规则5表示除了规则1~4允许的数据包通过外,其他 所有数据包一律禁止通过,即一切未被允许的就是禁 止的。
相关文档
最新文档