防火墙工作原理及应用

• 分组过滤技术 • 代理服务器技术 • 应用网关技术 • 电路级网关技术 • 状态监测技术 • 网络地址转换技术
信息安全技术与应用
1
分组过滤技术
• 分组过滤（packet filter）是所有防火墙中最核心的功 能,进行分组过滤的标准是根据安全策略制定的;
• 分组过滤型防火墙工作在TCP/IP网络参考模型的网络 层和传输层；
信息安全技术与应用
1
防火墙的发展趋势
• 设计新的防火墙的技术架构是未来发展方向。 • 采用数据加密技术的,使安全地合法访问。 • 混合使用分组过滤技术、代理服务技术和其他的一些新
技术。 • 新的IP协议IPv6的应用将对防火墙的建立与运行产生
深刻的影响。 • 分布式防火墙。
信息安全技术与应用
1
4.2防火墙技术
信息安全技术与应用
1
防火墙分类
• 实现技术方式 ➢ 从实现技术方式的不同,防火墙可分为“分组过滤型”防火墙 和“应用代理型”防火墙两大体系。前者以以色列的 Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表， 后者以NAI公司的Gauntlet防火墙为代表。
• 应用对象的不同 ➢ 分为企业级防火墙与个人防火墙;
信息安全技术与应用
1
网络防火墙
信息安全技术与应用
1
防火墙的功能
• 访问控制 • 防止外部攻击 • 进行网络地址转换 • 提供日志与报警 • 对用户身份认证
信息安全技术与应用
1
防火墙的历史
• 最早的防火墙技术几乎与路由器同时出现,采用了分组过滤（packet filter） 技术;
• 1989年，贝尔实验室的Dave.Presotto和Howard.Trickey推出了第2代 防火墙，即电路级防火墙，同时提出了第3代防火墙——应用层防火墙（代 理防火墙）的初步结构；
分组过滤技术
• 分组过滤技术的特点 ➢ 因为CPU用来处理分组过滤的时间相对很少,且这种防护措施 对用户透明，合法用户在进出网络时，根本感觉不到它的存 在，使用起来很方便。 ➢ 因为分组过滤技术不保留前后连接信息，所以很容易实现允 许或禁止访问。 ➢ 因为分组过滤技术是在TCP/IP层实现的，所以分组过滤的一 个很大的弱点是不能在应用层级别上进行过滤，所以防护方 式比较单一。
• 早先代理服务器用于将常用的页面存储在缓冲区中,以 便提高网络通信的速度。
• 1998年，美国的网络联盟公司（network associates inc，NAI）推出 了一种自适应代理（adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中实现，给代理类型的防火墙赋予了全新的意义，可以称 之为第5代防火墙。
信息安全技术与应用
1
• 实现形态上的不同 ➢ 分为软件防火墙、硬件防火墙和芯片级放火墙。
信息安全技术与应用
1
防Baidu Nhomakorabea墙的组成及位置
• 组成 ➢ 可以由一台路由器、一台PC或者一台主机构成,也 可以是由多台主机构成的体系;
• 位置 ➢ 一般将防火墙放置在网络的边界； ➢ 有时在网络边界内部也应该部署防火墙，以便为特 定主机提供额外的、特殊的保护；
信息安全技术与应用
1
防火墙的局限性
• 防火墙不能防范不经过防火墙的攻击; • 防火墙不能防止来自内部的攻击。 • 防火墙只能按照对其配置的规则进行有效的工作,一个过于随意的
规则可能会减弱防火墙的功效； • 防火墙不能防止感染了病毒的软件或文件的传输； • 防火墙不能修复脆弱的管理措施或者设计有问题的安全策略； • 防火墙可以阻断攻击，但不能消灭攻击源； • 防火墙不能抵抗最新的未设置策略的攻击漏洞； • 防火墙的并发连接数限制容易导致拥塞或者溢出； • 防火墙对服务器合法开放的端口的攻击大多无法阻止； • 防火墙本身也会出现问题和受到攻击；
信息安全技术与应用
1
分组过滤技术发展阶段
• 第一代静态分组过滤类型防火墙 • 第二代动态分组过滤类型防火墙
➢ 动态分组过滤（dynamic packet filter）也叫状 态分组检查（stateful packet inspection,SPI） 或者有状态分组过滤;
信息安全技术与应用
1
代理服务器技术
• 1992年，南加洲大学（University of Southern California，USC）信 息科学院的Bob.Braden开发出了基于动态分组过滤（dynamic packet filter）技术的第4代防火墙，后来演变为状态监视（stateful inspection） 技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术 的商业化的产品。
防火墙的原理
• 防火墙的主要目的是为了隔离外部网（Internet）和内部网 （Extranet）,以保护网络的安全;
• 从TCP/IP参考模型的网络结构来看，防火墙是建立在不同分层结构 上的、具有一定安全级别和执行效率的安全通信技术；
• 按照网络分层结构的实现思想，若防火墙所采用的通信协议栈其层 次越低，所能检测到的通信资源越少，其安全级别也就越低，但其 执行效率却较好。反之，如果防火墙所采用的通信协议栈其层次越 高，所能检测到的通信资源越多，其安全级别也就越高，但其执行 效率却较差。
1
4.1 防火墙概述
• 防火墙的概念 • 防火墙的功能 • 防火墙的历史 • 防火墙的原理 • 防火墙的分类 • 防火墙的组成及位置 • 防火墙的局限性 • 防火墙的发展趋势
信息安全技术与应用
1
防火墙的概念
• 防火墙（firewall）这个术语来自建筑结构的安全技术。
• 在网络系统中,所谓“防火墙”，是指一种将内部网和公 众访问网（如Internet）分开的方法，它实际上是一种 隔离技术，起到内部网与Internet之间的一道防御屏障。
信息安全技术与应用
1
分组过滤技术
• 分组过滤原理 ➢ 分组过滤通常安装在路由器上,并且大多数商用路由 器都提供了分组过滤的功能。 ➢ 分组过滤是一种安全筛选机制，它控制哪些数据包 可以进出网络而哪些数据包应被网络所拒绝。 ➢ 通常情况下靠网络管理员在防火墙设备的ACL中设 定。
信息安全技术与应用
1