防火墙概述ppt课件

未 知 通信 规 定 允许 通 信
防火墙
图8-2 防火墙工作示意图
.
防火墙 发展史
防火墙的发展简史
4. 第四代防火墙——具有安全操作系统的防火墙
3. 第三代防火墙——建立在通用操作系统上的防火 墙
2. 第二代防火墙——用户化的防火墙
1. 第一代防火墙——基于路由器的防火墙
.
6.1.2 防火墙的功能与缺陷
同时NAT技术另外一个显著的用途是解决了IP地址 匮乏的问题。
.
代理 透明代理，主要是在内网主机需要访问外网主机
时，不需要做任何设置，完全意识不到防火墙的 存在而完成内外网的通信，但其基本原理是防火 墙截取内网主机与外网的通信，由防火墙本身完 成与外网的通信，然后把结果传回给内网主机。 传统代理，与透明代理类似，不同的是它需要在 客户端设置代理服务器，代理可以实现较高的安 全性，不足之处是响应缓慢。
.
2. 防火墙缺陷
尽管防火墙有许多防范功能，但它也有一些力不 能及的地方，因为防火墙只能对通过它的网络通 信包进行访问控制，所以对未经过它的网络通信 就无能为力了。例如，如果允许从内部网络直接 拨号访问外部网络，则防火墙就失效了，攻击者 通过用户拨号连接直接访问内部网络，绕过防火 墙控制，也能造成潜在的攻击途径。
法攻击的风险。
.
➢ 限制网络访问。防火墙只允许外部网络访问受保 护网络的指定主机或网络服务，通常受保护网络 中的Mail、FTP、WWW服务器等可让外部网络访问， 而其他类型的访问则予以禁止。防火墙也用来限 制受保护网络中的主机访问外部网络的某些服务， 例如某些不良网址。
.
➢ 网络访问审计和预警。审计和预警是防火墙的在 配置好相关参数后作出的丢弃、拒绝或接受的重 要措施，防火墙的审计和预警机制在防火墙体系 中很重要。
防火墙是内部网络和外部网络之间的第一 道闸门，被用来保护计算机网络免受非授 权人员的骚扰和黑客的入侵。
防火墙在网关位置过滤各种进出网络的数 据，以保护内部网络的主机。
.
6.1.1 防火墙的概念
防火墙（Firewall）——是指隔离在内部网 络与外部网络之间的一道防御系统，它能挡 住来自外部网络的攻击和入侵，保障内部网 络的安全。
软件防火墙是通过纯软件的方式来实现的
.
防火墙可以是硬件
.
防火墙也可以是软件
.
1.相关概念
外部网络，防火墙之外的网络，如 Internet，默认为风险区域。
内部联网(Intranet)，防火墙之内的网络， 一般为局域网，如某个公司或组织的专用 网络，网络访问限制在组织内部。
军事缓冲区域，简称DMZ，该区域是介于内 部网络和外部网络之间的网络段，常放置 .
防火墙简单的可以用路由器、交换机实现，复杂的就要用 一台计算机，甚至一组计算机实现。按照TCP/IP协议的层次， 防火墙的访问控制可以作用于网络接口层、网络层、传输层、 应用层，首先依据各层所包含的信息判断是否遵循安全规则， 然后控制网络通信连接，如禁止、允许。防火墙简化了网络的 安全管理。如果没有它，网络中的每个主机都处于直接受攻击 的范围之内。为了保护主机的安全，就必须在每台主机上安装 安全软件，并对每台主机都要定时检查和配置更新。
.
本章内容
6. 1
防火墙概述
6. 2
防火墙的类型
6. 3
防火墙的体系结构
6. 4
防火墙配置
6. 5
防火墙产品介绍
.
6. 1
防火墙概述
古时候，建造和使用木质结构的房屋， 为了在火灾发生时，防止火势蔓延，人们 将坚固的石块堆砌在房屋周围形成一道墙 作为屏障，这种防护构筑物被称之为防火 墙。
在今天的网络世界里，人们借用了防火 墙这个概念，把隔离在内部网络和外界网 络之间的一道防御系统称为防火墙。它在 内部网和外部网之间构造一个保护层，并 迫使所有的连接和访问都通过这一保护层， .
.
防火墙可以阻断攻击，但是不能消灭攻击源 互联网上的病毒、木马、恶意试探等造成的攻击行 为络绎不绝。如果防火墙的安全策略设置得当，就 可以阻断这类攻击，但是不能够清除攻击源。
.
防火墙不能抵抗最新的未设置策略的高级漏 洞 如同杀毒软件，总是先出现病毒，杀毒软件 经过分析特征代码以后，将特征代码加入到 特征库中才能给将其查杀。防火墙的各种策 略也是在该攻击方式经过专家分析后给出其 特征而设置的。也就是说防火墙的安全性具 有滞后性。
取信息并导致不正确的访问。 数据驱动攻击，入侵者把一些具有破坏性的数据藏
匿在普通数据中传送到互联网主机上，当这些数据 被激活时就会发生数据驱动攻击。 IP地址欺骗，一种突破防的火墙系统的常用方法。 入侵者通过伪造的IP发送地址产生虚假的数据包， 乔装成来自内部网络数据。
.
在安全区域划分的基础上，通过一种网络安全设 备，控制安全区域间的通信，就能实现隔离有害通信 的作用，进而可以阻断网络攻击。这种安全设备的功 能类似于防火使用的墙，因而人们就把这种安全设备 俗称为“防火墙”，它一般安装在不同的安全区域边 界处，用于网络通信安全控制，由专用硬件或软件系 统组成。
吞吐量，在不丢包的情况下单位时间内通 过防火墙数据包的数量，这是衡量防火墙 性能的重要指标。
最大连接数，该数据更贴近网络的实际情 况，网络中大多数连接数是指所建立的一 个虚拟通道。这也是衡量防火墙的一个重 要指标。
堡垒主机，一种被强化的可以防御进攻的 .
包过滤，在网络层中对数据包实施有选择的通过， 依据系统事先设定好的过滤规则，检查数据流中的 每个数据包，根据数据包的源地址、目的地址及端 口等信息来确定是否允许数据包通过。
.
MAC与IP地址绑定，主要用于防止受控的内部用 户通过更换IP地址访问外网，因其实现简单，内 部只需要两个命令就可以实现，所以绝大多数防 火墙都提供了该项功能。
.
流量控制和统计分析、流量计费 流量控制可以分为基于IP地址的控制和基于用户
的控制。 防火墙可以控制网络带宽的分配使用，实现部分
.
2. 防火墙的安全策略
防火墙是由一些软、硬件组合而成的网络访问控 制器，它根据一定的安全规则来控制流过防火墙的 网络包，如禁止或转发，能够屏蔽被保护网络内部 的信息、拓扑结构和运行状况，从而起到网络安全 屏障的作用。防火墙一般用来将内部网络与Internet 或者其他外部网络互相隔离，限制网络互访，保护Baidu Nhomakorabea内部网络的安全，如图所示。
(2) 禁止与安全规则相冲突的包通过防火墙，其他 通信包都允许。即除非明确禁止，否则允许。
.
内 部 网络 受 到 禁止 通 信 流
允 许 通过 通 信 流
外 部 网络
通 信 被禁 止 ， 因 为 不符 合 安 全
禁止
规则
到 外 网通 信 允许
只 有 符合 安 全 规 则 通信 才 允 许
通过
禁止
访 问 指定 的 资 源 允许
➢ 其中被保护的网络称为内部网络，另一方则称 为外部网络或公用网络。它能有效地控制内部 网络与外部网络之间的访问及数据传送，从而 达到保护内部网络的信息不受外部非授权用户
.
从实现方式上看，防火墙可以分为硬件防 火墙和软件防火墙两类：
硬件防火墙是通过硬件和软件的结合来达 到隔离内、外部网络的目的；
➢ 防火墙是外部网络与受保护网络之间的惟一网络 通道，可以记录所有通过它的访问并提供网络使 用情况的统计数据。依据防火墙的日志，可以掌 握网络的使用情况，例如网络通信带宽和访问外 部网络的服务数据。防火墙的日志也可用于入侵 检测和网络攻击取证。
.
➢ 由于网络上的数据流量是比较大的，这里 主要有两种解决方式：将日志挂接在内网 的一台专门存放日志的服务器上；将日志 直接存放在防火墙本身的服务器上。
。
.
UF3500/3100防火墙应用 三端口NAT模式
集线器
防火墙UF3500/3100
路由器
PC
PC
交换机
WWW 服务器 FTP 服务器
Mail服务器
.
➢ 在网络中，硬件防火墙是一种用来加强网络之 间访问控制的特殊网络互联设备，如路由器、 网关等。
➢ 它对两个或多个网络之间传输的数据包和连接 方式按照一定的安全策略进行检查，以决定网 络之间的通信是否被允许。
.
防火墙并发连接数限制容易导致拥塞或者溢 出 由于需要判断并处理流经防火墙的每一个数 据包，所以防火墙在某些流量大，并发请求 多的情况下，很容易造成拥塞，称为整个网 络性能影响的瓶颈。而当防火墙溢出的时候， 整个防线就如同虚设，原本被禁止的连接也 能够通过。
.
防火墙对服务器合法开放的端口的攻击大多 无法阻止； 攻击者利用服务器提供的服务进行缺陷攻击， 由于这些行为在防火墙看来是“合理合法” 的，因此会被误判。
代理服务器，代表内部网络用户向外部网络中的服 务器进行连接请求的程序。
状态检测技术，状态监测模块在不影响网络安全、 正常工作的前提下，采用抽取相关数据的方法对网 络通信的各个层次实行检测，并作为安全决策的依 据。
.
虚拟专用网，在公用网络中配置的专用网络。 漏洞，系统中的安全缺陷，漏洞可以导致入侵者获
.
1.防火墙的基本功能
包过滤
➢ 这是防火墙的基本功能，现在的防火墙已 经有最初的地址、端口判定控制，发展到 判断通信报文协议头的各部分，以及通信 协议的应用层命令、内容、用户特征、用 户规则甚至状态监测等。
➢ 将防火墙设置为只有预先被允许的服务和
用户才能通过防火墙，禁止未授权的用户
访问受保护的网络，降低被保护网络受非
网络质量服务(QoS)保障。 流量统计是建立在流量控制基础之上的，一般防
火墙对基于IP、服务、时间、协议等进行统计， 并可以与管理界面实现挂接，实时或一统计报表 的形式输出结果。
.
URL级信息过滤 通常是代理模块的一部分，许多防火墙将其功能单独 的提取出来，但是实现是跟代理模块结合起来的。 它用来控制内部网络对某些站点的访问，如禁止某些 站点、禁止访问站点下的某些目录、只允许访问某些 站点或其下目录等。
.
远程管理，管理界面一般完成对防火墙的 配置、管理和监控等工作。管理界面的设 计直接关系到防火墙的易用性和安全性。 目前防火墙主要有两种远程管理界面：Web 界面和GUI界面。
.
NAT技术，该技术能够透明的对所有内部地址做 转换，使外部网络无法了解内部网络的内部结构， 同时使用NAT的网络与外部网络的连接只能有内 部网络发起，这极大的提高了内部网络的安全性。
.
防火墙不能防范人为因素的攻击； 防火墙不能防止内奸或用户误操作造成的威 胁，防火墙也不能防止用户由于口令泄露而 遭受攻击。
.
防火墙不能防止数据驱动式的攻击。 有些表面看起来无害的数据通过邮件或复制 到内部网的主机上被执行，就会发生数据驱 动式攻击。如一种数据驱动式的攻击造成主 机修改与系统安全有关的配置文件，从而使 入侵者下次更加容易攻击该系统。
.
防火墙对待内部主动发起连接的攻击一般无 法阻止 外紧内松是一般局域网的特点，或许一道严 密防守的防火墙内部网络是一片混乱的也是 可能的，通过发送带有木马的URL等方式，然 后由感染木马的主机主动对攻击者连接。另 外防火墙对内部主机间的攻击行为，爱莫能 助。
.
防火墙本身也会出现问题和受到攻击 防火墙也是一个OS，也有其硬件和如图案件 系统，因此也就不可避免的会有BUG，其本 身也会有软硬件方面的故障。
第6章 防火墙技术与应用
.
学习目标
了解防火墙的基本概念 掌握防火墙的主要功能和缺陷 深入理解防火墙的工作原理和机制 掌握防火墙的分类 了解防火墙的基本部署 掌握防火墙的基本指标
.
引导案例:
随着计算机信息技术的日益发展与完善，互联网 技术的普及和发展，给教育信息化工作的开展提 供了很多的便利，网络成为教育信息化的重要组 成部分。然而，网络的快速发展也给黑客提供了 更多的危及计算机网络信息安全的手段和方法， 网络信息安全成为人们关注的焦点。上海市某教 委计算机网络连接形式多样、终端分布不均匀且 具有开放性特点，容易受到攻击。因此，如何针 对该教委建立一个安全、高效的网络系统，最终 为广大师生提供全面服务，成为了迫切需要解决 的问题。
.
外部网络
内部网络
路由器
防火墙
防火墙部署安装示意图
.
防火墙根据网络包所提供的信息实现网络通信访问 控制：如果网络通信包符合网络访问控制策略，就允 许该网络通信包通过防火墙，否则不允许。防火墙的 安全策略有两种类型，即：
(1) 只允许符合安全规则的包通过防火墙，其他 通信包禁止。即除非明确允许，否则禁止。