防火墙基础知识精品PPT课件

一个Telnet应用代理的过程
用户首先Telnet到应用网关主机，并输入内 部目标主机的名字（域名、IP地址） 应用网关检查用户的源IP地址等，并根据事 先设定的访问规则来决定是否转发或拒绝 然后用户必须进行是否验证（如一次一密等 高级认证设备） 应用网关中的代理服务器为用户建立在网关 与内部主机之间的Telnet连接 代理服务器在两个连接（用户/应用网关，代 理服务器/内部主机）之间传送数据 应用网关对本次连接进行日志记录
代理服务器：代表内部网络和外部服务器进行 信息交换的程序。它将被认可的内部用户的请求 送到外部服务器，并将外部服务器的响应送回给 用户。
防火墙的基本功能
• 防火墙系统可以决定外界可以访问那些内
部服务,以及内部人员可以访问哪些外部服 务.
防火墙有以下的功能:
1．允许网络管理员定义一个中心点来 防止非法百度文库户进入内部网络。
防火墙是对黑客防范最严格,安全性也比 较强的一种方式。
下图为一个典型防火墙系统
非信任网络
Internet
防火墙
信任网络
防火墙相关术语
主机：连接到网络的计算机系统
堡垒主机：一个连接内部网络又对外部网络暴 露的计算机系统，它的特性导致它容易被入侵。
周边网络：为了增加一层安全控制，在外网系 统和内网系统之间增加的一个网络。周边网络有 时也称为DMZ（非军事区，得名于分隔朝鲜北方 和南方的地区）
5．可以连接到一个单独的网段上，从物理 上和内部网段隔开，并在此部署WWW服务 器和FTP服务器，将其作为向外部发布内部 信息的地点。从技术角度来讲，就是所谓 的停火区（DMZ）。
防火墙的优点
• 强化安全策略 • 有效地记录Internet上的活动 • 限制暴露用户点(隔离不同网络，限制安全问题扩
防火墙的分类
从使用技术上分
• 包过滤技术 • 代理服务技术 • 状态检测技术
从实现形式分
• 软件防火墙 • 硬件防火墙 • 芯片级防火墙
防火墙的分类
从部署位置分
• 个人防火墙 • 网络防火墙 • 混合防火墙
防火墙技术的实现
• Windows 防火墙的应用
– 拦截ping包
• 模拟器上访问控制列表的介绍
防火墙的主要技术
•包过滤技术 •代理服务技术 •主动检测技术
包过滤技术
包过滤事实上基于路由器的技术，由路由器的 对IP包进行选择，允许或拒绝该数据包通过。
为了过滤，必须要制定一些过滤规则（访问 控制表），过滤的根据有(只考虑IP包)： ✓ 源、目的IP地址 ✓ 源、目的端口：FTP、HTTP、DNS等 ✓ 数据包协议类型：TCP、UDP、ICMP等 ✓ 数据包流向：in或out ✓ 数据包流经网络接口：Eth0、Eth1
对防火墙产品发展的介绍
防火墙发展历程
第一阶段：基于路由器的防火墙 第二阶段：用户化的防火墙工具套 第三阶段：建立在通用操作系统上的防火墙 第四阶段：具有安全操作系统的防火墙
2．可以很方便地监视网络的安全性， 并报警。
防火墙的基本功能
3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用 NAT技术，将有限的IP地址动态或静态地与 内部的IP地址对应起来，用来缓解地址空间 短缺的问题。
4．是审计和记录Internet使用费用的一个最 佳地点。
包过滤防火墙工作示意图
设置实例
包过滤优缺点
优点：
•简单 •较强的透明性 •过滤路由器速度快，效率高。
包过滤优缺点
缺点：
• 配置基于包过滤方式的防火墙，需要对IP、TCP、
UDP、ICMP等各种协议有深入的了解，否则容 易出现因配置不当带来的问题；
• 过滤判别的只有网络层和传输层的有限信息，因
防火墙技术
防火墙的概念
防火墙是指隔离在本地网络与外界网络系统之 间的防御系统，是这一类防范措施的总称。应该 说，在互联网上防火墙是一种非常有效的网络安 全模型，通过它可以隔离风险区域(即Internet 或有一定风险的网络)与安全区域(局域网)的连接 ，同时不会妨碍人们对风 险区域的访问。
防火墙的概念
应用级网关防火墙工作示意图
应用级网关防火墙的特点
应用网关代理的优点是易于配置，界面友好； 不允许内外网主机的直接连接；可以提供比包过 滤更详细的日志记录，例如在一个HTTP连接中， 包过滤只能记录单个的数据包，无法记录文件名、 URL等信息；可以隐藏内部IP地址；可以给单 个用户授权；可以为用户提供透明的加密机制； 可以与认证、授权等安全手段方便的集成。代理 技术的缺点是：代理速度比包过滤慢；代理对用 户不透明，给用户的使用带来不便，而且这种代 理技术需要针对每种协议设置一个不同的代理服 务器。
状态检测包过滤技术
启动一个监测程序对网络进行监控，当出现网 络攻击时立即告警或切断相关连接。
用于安全性非常高的网络系统，消耗内存大。
防火墙的设计
防火墙的安全策略
（1）每一个没有明确允许的都被拒绝 常用，但操作困难，并有可能拒绝网络用户的正
常需求与合法服务 （2）每一个没有明确拒绝的都允许
很少考虑，因为这样的防火墙可能带来许多风险 和安全问题。攻击者完全可以使用一种拒绝策略中 没有定义的服务而被允许并攻击网络
而各种安全要求不能得到充分满足；
• 由于数据包的地址及端口号都在数据包的头部，
不能彻底防止地址欺骗；
• 允许外部客户和内部主机的直接连接； • 不提供用户的鉴别机制。
代理服务技术
• Application-level Gateway
代理服务技术
✓也称为应用级网关它不让数据包直接通过， 而是自己接收数据，并对其进行分析。“可 信赖”的服务才能通过。 ✓代理服务器必须了解所要代理的服务，并 为每一种服务提供详细的访问日志记录，能 针对不同的使用者进行认证。 ✓常用的代理服务器有ＨＴＴＰ代理，ＦＴ Ｐ代理等。
散)
• 是一个安全策略的检查站 • 产生安全报警
防火墙的不足
• 防火墙并非万能，防火墙的缺点:
– 源于内部的攻击 – 不能防范恶意的知情者和不经心的用户 – 不能防范不通过防火墙的连接 – 不能直接抵御恶意程序(由于病毒的种类
繁多，如果要在防火墙完成对所有病毒 代码的检查，防火墙的效率就会降到不 能忍受的程度。)