网络安全与管理第8章防火墙技术本章学习目标防火墙及相关概念包过滤与代理防火墙的体系结构分布式防火墙与嵌入式防火墙8.1防火墙概述8.1.1相关概念8.1.2防火墙的作用8.1.3防火墙的优、缺点8.1.1相关概念防火墙的概念防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障着内部网络的安全。内部网服务器工作站工作站工作站Internet......防火墙8.1.1相关概念其它概念:外部网络(外网)内部网络(内网)非军事化区(DMZ)包过滤代理服务器状态检测技术虚拟专用网(VPN)漏洞数据驱动攻击IP地址欺骗8.1.1相关概念防火墙安全策略一个防火墙应该使用以下两种基本策略中的一种:除非明确允许,否则就禁止除非明确禁止,否则就允许8.1.2防火墙的作用防火墙的基本功能从总体上看,防火墙应具有以下基本功能:可以限制未授权用户进入内部网络,过滤掉不安全服务和非法用户;防止入侵者接近内部网络的防御设施,对网络攻击进行检测和告警;限制内部用户访问特殊站点;记录通过防火墙的信息内容和活动,监视Internet安全提供方便。8.1.3防火墙的优、缺点1.优点防火墙是加强网络安全的一种有效手段,它有以下优点:防火墙能强化安全策略;防火墙能有效地记录Internet上的活动;防火墙是一个安全策略的检查站。8.1.3防火墙的优、缺点2.缺点有人认为只要安装了防火墙,所有的安全问题就会迎刃而解。但事实上,防火墙并不是万能的,安装了防火墙的系统仍然存在着安全隐患。以下是防火墙的一些缺点:不能防范恶意的内部用户;不能防范不通过防火墙的连接;不能防范全部的威胁;防火墙不能防范病毒;8.2防火墙技术分类8.2.1包过滤技术8.2.2代理技术8.2.3防火墙技术的发展趋势8.2.1包过滤技术包过滤(PacketFiltering)技术在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个包,根据包头信息来确定是否允许数据包通过,拒绝发送可疑的包。8.2.1包过滤技术包过滤防火墙具有明显的优点:一个屏蔽路由器能保护整个网络包过滤对用户透明屏蔽路由器速度快、效率高8.2.1包过滤技术包过滤防火墙的缺点:它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录没有一定的经验,是不可能将过滤规则配置得完美不能在用户级别上进行过滤,只能认为内部用户是可信任的、外部用户是可疑的8.2.1包过滤技术包过滤防火墙的发展阶段第一代:静态包过滤防火墙第二代:动态包过滤(DynamicPacketFilter)防火墙第三代:全状态检测(StatefulInspection)防火墙第四代:深度包检测(DeepPacketInspection)防火墙8.2.2代理技术所谓代理服务器,是指代表内网用户向外网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间,它对于客户机来说像是一台真的服务器,而对于外网的服务器来说,它又是一台客户机。代理服务器的基本工作过程是:当客户机需要使用外网服务器上的数据时,首先将请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。8.2.2代理技术代理的优点代理易于配置代理能生成各项记录代理能灵活、完全地控制进出信息代理能过滤数据内容8.2.2代理技术代理的缺点:代理速度比路由器慢代理对用户不透明对于每项服务,代理可能要求不同的服务器代理服务通常要求对客户或过程进行限制代理服务受协议弱点的限制代理不能改进底层协议的安全性8.2.2代理技术代理防火墙的发展阶段:应用层代理(ApplicationProxy)电路层代理(CircuitProxy)自适应代理(AdaptiveProxy)8.2.3防火墙技术的发展趋势代理服务器在对应用层的数据过滤方面能力优于包过滤防火墙,但是在性能方面的表现就会大大逊色。总体来说,传统的防火墙已经无法满足人们的安全需求,其功能不足以应付众多的安全威胁。发展趋势:功能融合集成化管理分布式体系结构8.3防火墙体系结构8.3.1双重宿主主机结构8.3.2屏蔽主机结构8.3.3屏蔽子网结构...
