网络安全理论与实践-教案-第3章防火墙

金陵科技学院教案【教学单元首页】

第 1 次课授课学时 4 教案完成时间： 2018.2

授课内容

内容备注•防火墙概述

•防火墙是由软件和硬件组成的系统，它处于安全的网络和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。

•在逻辑上，防火墙是一个分离器、限制器、分析器，能有效地监控内部网与Internet之间的任何活动，保证内部网络的安全。

•防火墙对数据流的处理方式：

防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控

制(允许、拒绝、丢弃)出入网络的信息流，且本身具有较强的抗攻击能力。

•允许数据流通过。

•拒绝数据流通过，并向发送者回复一条消息，提示发送者该数据流已被拒绝。

•将数据流丢弃，不对这些数据包进行任何处理，也不会向发送者发送任何提示信息。

•防火墙须满足的要求

防火墙是Internet安全的最基本组成部分，但对于内部攻击以及绕过防火墙的连

接却无能为力。

防火墙不是一台普通的主机，它自身的安全性要比普通主机更高。那些与防火墙功

能实现不相关但又可能带来安全威胁的网络服务和应用程序，都应当剥离出去。

•前提：所有进出网络的数据流都必须经过防火墙

•基本功能：只允许经过授权的数据流通过防火墙。

•先决条件：防火墙自身对入侵是免疫的。

•防火墙示意与组成

•过滤器：阻断数据传输

•外部过滤器：保护网关免受侵害

•内部过滤器：防备因网关被攻击而造成的伤害

•网关：提供中继服务的一台或多台机器

•堡垒主机：暴露在外面的网关主机

•DMZ：网关所在的网络称为“非军事区”

堡垒主机在防火墙体系结构中起着至关重要的作用，它专门用来击退攻击行为。网

络防御的第一步，是寻找堡垒主机的最佳位置，

堡垒主机为内网和外网之间的所有通道提供一个阻塞点。没有堡垒主机，就不能连接外网，同样，外网也不能访问内网。如果通过堡垒主机来集中网络权限，就可以轻松地配置软件来保护网络。

•防火墙本质：一种能够限制网络访问的设备或软件

•防火墙的类型和设计结构：

防火墙分类：包过滤防火墙，电路级网关防火，墙应用级网关防火墙。

防火墙设计结构：静态包过滤，动态包过滤，电路级网关

•OSI模型与防火墙类型的关系

防火墙工作于OSI模型的层次越高，能提供的安全保护等级就越高。

•网络地址转换NAT

NAT的优点：隐藏内部网络的拓扑结构，提升网络安全性，解决地址紧缺的问题。NAT的分类：

•根据NAT的实现方式对NAT进行分类：静态NAT，动态AT，端口地址转换动态NAT：可用的Internet IP地址限定在一个范围内。

静态NAT：在进行网络地址转换时，内部网络地址与外部的Internet IP

地址是一一对应的关系。

•根据数据流进行分类：源NAT，目标NAT

源NAT：当内部用户使用专用地址访问Internet时，必须将IP头部中的

数据源地址转换成合法的Internet地址。

目标NAT：必须将数据包中的目的地址转换成服务器的专用地址，使合法

的Internet IP地址与内部网络（防火墙后面）中服务器的专用地址相对

应。

NAT转换过程

在外部数据包进入内部网络之前，其目的地址字段应包含NAT路由器的外部地址。因此，对于所有输入数据包，NAT路由器必须采用最终目标主机的IP地址替换数据包的目的地址。

在内部数据包离开内部网络之前，其源地址字段应包含NAT路由器的外部地址

因此，对于所有输出的数据包，NAT路由器用其外部地址替换数据包的源地址。

NAT转换过程实例1：

对于输出数据包，NAT的工作很简单：NAT路由器只需用NAT的外部地址来替换数据包中的源地址（内部主机地址）

对于输入数据包，NAT如何知道该将数据包发给内网中的哪一台主机呢？

NAT路由器需要维护一个转换表，该表将内部主机的地址映射到外部目标主机的地址。

一旦某个内部主机发送一个数据包给外部主机，NAT路由器在此转换表中增加一个条目。

一旦从外部主机返回了一个响应，NAT路由器便查询转换表，决定将此响应数据包发给内网中的哪台主机。

NAT转换过程实例2：

如果有多个内部主机同时与外网的同一台主机通信，NAT路由器如何确定应该将响应包发给哪一台内部主机呢？——需要修改NAT转换表，添加几列新的参数。

•防火墙的体系结构

•双宿主主机体系结构

双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口，其中一些接口连接到一段网络，另一些接口连接另一网段，这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另一个网络发送IP数据包。

•屏蔽主机体系结构

屏蔽主机体系结构如图所示，防火墙没有使用路由器，但能提供来自于多个网络相连的主机的服务，而屏蔽主机体系结构使用一个单独的路由器，提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中，主要的安全由数据包过滤提供。

在这种体系结构中，主要的安全由数据包过滤提供(例如，数据包过滤用于防止人们绕过代理服务器直接相连)。数据包过滤也允许堡垒主机开放可允许的连接(什么是可允许，将由用户站点的安全策略决定)到外部世界。

在屏蔽的路由器中，数据包过滤配置可以按下列之一执行：

•允许其他的内部主机为了某些服务与因特网上的主机连接，即允许那些已经由数据包过滤的服务。

•不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。用户可以针对不同的服务混合使用这些手段，某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。

•屏蔽子网体系结构

屏蔽子网体系结构(如图11-5所示)添加额外的安全层到屏蔽主机体系结构，即通过添加周边网络，更进一步地把内部网络和外部网络(通常是Internet)隔离开。下面将对上面提到的几个名词进行说明，具体如下。

1. 内部路由器

2. 外部路由器

3. 周边网络（DMZ）

•防火墙体系结构的组合形式