第5章防火墙与入侵检测技术精品PPT课件

4.防火墙的局限性
（1） 防火墙不能防范不经过防火墙的攻击。 （2） 防火墙不能解决来自内部网络的攻击和安全问题。 （3） 防火墙不能防止策略配置不当或错误配置引起的安全 威胁。 （4） 防火墙不能防止可接触的人为或自然的破坏。 （5） 防火墙不能防止利用标准网络协议中的缺陷进行的攻 击。 （6） 防火墙不能防止利用服务器系统漏洞所进行的攻击。 （7） 防火墙几乎不能防范病毒。 （8） 防火墙不能防止数据驱动式的攻击。 （9） 防火墙不能防止内部的泄密行为。 （10）防火墙不能防止本身的安全漏洞的威胁。 （11）防火墙不能防备全部的威胁。
数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内 部网络与Internet连接必不可少的设备，因此在原有网络上 增加这样的防火墙几乎不需要任何额外的费用。
分组过滤或包过滤，是一种通用、廉价、有效的安全手段。 之所以通用，因为它不针对各个具体的网络服务采取特殊的 处理方式；之所以廉价，因为大多数路由器都提供分组过滤 功能；之所以有效，因为它能很大程度地满足企业的安全要 求。 所根据的信息来源于IP、TCP或UDP包头。
统。 在互联网上，防火墙是一种非常有效的网络安全系统，
通过它可以隔离风险区域（Internet或有一定风险的 网络）与安全区域（局域网）的连接，同时不会妨碍 安全区域对风险区域的访问，网络防火墙结构如图所 示
2．使用防火墙的目的： （1）限制访问者进入被严格控制的点。 （2）防止侵入者接近内部设施。 （3）限制访问者离开被严格控制的点，有效的保护内部资源。 （4）检查、过滤和屏蔽有害的服务。 3．防火墙的特征 典型的防火墙具有以下三个方面的基本特性： （1）所有进出网络的数据流都必须经过防火墙 （2）只有符合安全策略的数据流才能通过防火墙 （3）防火墙自身应具有非常强的抗攻击的能力
5.2 防火墙技术
5.2.1 防火墙的类型
1．数据包过滤型防火墙
数据包过滤（Packet Filtering）技术是在网络层对数据包 进行选择，选择的依据是系统内设置的过滤逻辑，被称为访 问控制表(Access Control Table)。通过检查数据流中每个 数据包的源地址、目的地址、所用的端口号、协议状态等因 素，或它们的组合来确定是否允许该数据包通过。
4. 复合型防火墙
由于对更高安全性的要求，常把基于包过滤的方法与 基于应用代理的方法结合起来，形成复合型防火墙产品。 这种结合通常是以下两种方案。
屏蔽主机防火墙体系结构：在该结构中，分组过滤路 由器或防火墙与Internet相连，同时一个堡垒主机安装 在内部网络，通过在分组过滤路由器或防火墙上过滤规 则的设置，使堡垒主机成为Internet上其它节点所能到 达的惟一节点，这确保了内部网络不受未授权外部用户 的攻击。
5.1.2 防火墙的功能
➢ 根据不同的需要，防火墙的功能有比较大差异，但是 一般都包含以下三种基本功能。
✓ 可以限制未授权的用户进入内部网络，过滤掉不安全的服务 和非法用户
✓ 防止入侵者接近网络防御设施 ✓ 限制内部用户访问特殊站点
➢ 由于防火墙假设了网络边界和服务，因此适合于相对 独立的网络，例如Intranet等种类相对集中的网络。 Internet上的Web网站中，超过三分之一的站点都是 有某种防火墙保护的，任何关键性的服务器，都应该 放在防火墙之后。
屏蔽子网防火墙体系结构：堡垒机放在一个子网wenku.baidu.com， 形成非军事区，两个分组过滤路由器放在这一子网的两 端，使这一子网与Internet及内部网络分离。在屏蔽子 网防火墙体系结构中，堡垒主机和分组过滤路由器共同 构成了整个防火墙的安全基础。
5.2.2 防火墙的主要技术
1．包过滤技术
（1）包过滤技术的原理
包过滤技术的原理在于监视并过滤网络上流入流出的IP包，拒绝发送 可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制 包的能力叫包过滤（Packet Filtering）。由于Internet与Intranet的 连接多数都要使用路由器，所以路由器成为内外通信的必经端口，过 滤 路 由 器 也 可 以 称 作 包 过 滤 路 由 器 或 筛 选 路 由 器 （ Packet Filter Router）。
第5章 防火墙与入侵检测技术
5.1 防火墙概述
5.1.1 防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的 墙，这道墙可以防止火灾发生的时候蔓延到别 的房屋，如图
安全区域 服务器 工作站 台式PC 打印机
服务器
安全区域 服务器 工作站 台式PC 打印机
服务器
防火墙
Internet网络
1．防火墙的定义 防火墙是指隔离本地网络与外界网络之间的一道防御系
2．应用级网关
应用级网关(Application Level Gateways)是在网络 应用层上建立协议过滤和转发功能。它针对特定的网 络应用服务协议使用指定的数据过滤逻辑，并在过滤 的同时，对数据包进行必要的分析、登记和统计，形 成报告。实际中的应用网关通常安装在专用工作站系 统上。
数据包过滤和应用网关防火墙有一个共同的特点， 就是它们仅仅依靠特定的逻辑判定是否允许数据包通 过。一旦满足逻辑，则防火墙内外的计算机系统建立 直接联系，防火墙外部的用户便有可能直接了解防火 墙内部的网络结构和运行状态，这有利于实施非法访 问和攻击。
3. 代理服务器型防火墙
代理服务(Proxy Service)也称链路级网关或TCP通道 (Circuit Level Gateways or TCP Tunnels)，也有人将 它归于应用级网关一类。它是针对数据包过滤和应用网 关技术存在的缺点而引入的防火墙技术，其特点是将所 有跨越防火墙的网络通信链路分为两段。防火墙内外计 算机系统间应用层的“链接”，由代理服务器上代理程 序来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。
此外，代理服务也对过往的数据包进行分析、注册登 记，形成报告，同时当发现被攻击迹象时会向网络管理 员发出警报，并保留攻击痕迹。
应用代理型防火墙是内部网与外部网的隔离点，起着 监视和隔绝应用层通信流的作用。同时也常结合过滤器 的功能。它工作在OSI模型的最高层，掌握着应用系统 中可用作安全决策的全部信息。