防火墙技术(第七讲)

四川警安职业学院标准教案纸

课程名称防火墙技术（第七讲）任课教师陈平

授课时间地点多媒体授课班级06级人数17人

教学目标1.掌握网络防火墙的设计方法及技术

2.了解防火墙设计应达到的目标

3.掌握安全策略的含义及技术

教学重点1.网络防火墙设计规则

2.安全策略定义及技术

3.设置防火墙的要素

教学难点1.网络防火墙的技术

2.常见防火墙设计

教学时数2节教学方法讲授法、演示法、

实践操作法

教学手段多媒体教学

教学内容：

第3章网络设计（三）

3.2.3网络防火墙的设计

1.防火墙要能确保满足的目标

防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合4个目标，而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下，防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下4个目标：

（1）创建一个安全策略

防火墙的主要意图是强制执行你的安全策略。在前面提到过在适当的网络安全中安全策略的重要性。如果安全策略只需对MAIL服务器的SMTP流量做些限制，那么就只要直接在防火墙强制这些策略。（2）创建一个阻塞点

防火墙在一个公司私有网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视、过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。

通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视和控制信息的检查点，系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。

（3）记录Internet活动

防火墙还能够强制日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。

（4）限制网络暴露

防火墙在内部网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增加保密性。当远程节点侦测内部网络时，它们仅仅能看到防火墙。远程设备将不会知道内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量实行源检查，以限制从外部发动的攻击。

2.考虑的事项

●性能需要在充分的安全/防火墙和数据访问之间作精心的平衡。在访问列表或过滤处理中应用的安全水平

越高，性能就会越差。

●过滤器在使用IP地址进行访问控制时效率较高。然而，对于许多设备来说，过滤表越长，需要对每个包进行检查的时间就越长。

●系统提供过滤服务的速度能达到千兆。性能受不同因素影响会有所区别，这些因素包括使用了多少过滤器、软件对包的扫描有多深（OSI模型三层到七层）、流量的类型。

●加密和解密会产生延迟。

●阻止对某些端口的访问是保证性能的有效手段，但这将同样会阻止那些使用这些端口的应用。

3.设计网络防火墙的技术

设计网络边界时可采用不同的技术，以提供不同层次的安全、服务和性能。下面是防火墙设计中常见的技术类型，可以提供出色的安全。

●非军事区（DMZ）。

●堡垒主机。

●过滤网关。

（1）非军事区

非军事区是一段网络，它允许Internet流量出入Intranet，同时仍能保证Intranet的安全。DMZ （Demilitarized Zone）提供了在Internet和Intranet之间的缓冲。

DMZ通过使用服务器和第三层设备防止Intranet直接暴露给Internet，从而提高了安全性。DMZ中连接的服务器可能包括为内部用户提供Web访问的代理服务器、提供安全远程访问的VPN服务器，以及其他诸如邮件服务器和域名服务器等。

（2）堡垒主机

堡垒主机是指在极其关键的位置上用于安全防御的某个系统。堡垒主机系统必须检查所有进入的流量并强制执行在安全策略里所指定的规则，它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机系统还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。对于此系统的安全要给予额外关注，还要有例行的审计和安全检查。如果攻击者要攻击内部网络，那他们只能攻击到这台堡垒主机。

堡垒主机可以是3种防火墙中的任一种类型：包过滤，电路级网关，应用级网关。通常人们使用经过加固的且没有IP转发的系统作为Internet和Intranet间的堡垒主机。Internet和Intranet都可以对堡垒主机的数据进行访问，但这两个网络从来不能直接交换数据。可以在堡垒主机上放置和更新Web服务，此时堡垒主机会阻止从Internet到Intranet的网络访问。

（3）过滤网关

“过滤网关”是一个起防火墙作用的路由器，它通过选择TCP和UDP端口来进行流量的过滤，很多情况下它也阻止ICMP包。被阻止的来自Internet的访问主要集中于那些危险性很高的服务。

使用过滤网关是一种非常常用的防止访问Intranet的方法。传统的防火墙通过在OSI的更高层增加屏蔽网络流量的方式拓展了过滤网关的概念。

4.设计规则

当构造防火墙设备时，经常要遵循下面两个主要的概念：第一，保持设计的简单性；第二，要计划好一旦防火墙被渗透应该怎么办。

（1）保持设计的简单性

一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件，无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像Web服务的应用程序。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。

（2）安排事故计划

如果已设计好防火墙性能，并且规定只有通过防火墙才能允许公共访问内部网络。当设计防火墙时，