第8章防火墙技术的原理与应用第8章防火墙技术的原理与应用8.1防火墙概述8.2防火墙技术与类型8.3防火墙主要技术参数8.4防火墙防御体系结构类型8.5防火墙部署与应用案例8.6本章小结本章思考与练习第8章防火墙技术的原理与应用8.1防火墙概述8.1.1防火墙技术背景目前,各组织机构都是通过便利的公共网络与客户、合作伙伴进行信息交换的,但是,一些敏感的数据有可能泄露给第三方,特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁,连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:第8章防火墙技术的原理与应用*公共外部网络,如Internet。*内联网(Intranet),如某个公司或组织的专用网络,网络访问限制在组织内部。*Extranet,是内联网的扩展延伸,常用作组织与合作伙伴之间进行通信。*军事缓冲区域,简称DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。第8章防火墙技术的原理与应用在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,就能实现隔离有害通信的作用,进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙,因而人们就把这种安全设备俗称为“防火墙”,它一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成。第8章防火墙技术的原理与应用8.1.2防火墙工作原理防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全,如图8-1所示。第8章防火墙技术的原理与应用图8-1防火墙部署安装示意图ÍⲿÍøÂç·ÓÉÆ÷·À»ðǽÄÚ²¿ÍøÂç第8章防火墙技术的原理与应用防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许,如图8-2所示。防火墙的安全策略有两种类型,即:(1)只允许符合安全规则的包通过防火墙,其他通信包禁止。(2)禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。第8章防火墙技术的原理与应用图8-2防火墙工作示意图ͨÐű»½ûÖ¹£¬ÒòΪ²»·ûºÏ°²È«¹æÔò½ûÖ¹ÔÊÐíÍⲿÍøÂçµ½ÍâÍøͨÐÅδ֪ͨÐŹ涨ÔÊÐíͨÐŽûÖ¹ÔÊÐí·ÃÎÊÖ¸¶¨µÄ×ÊÔ´Ö»ÓзûºÏ°²È«¹æÔòͨÐŲÅÔÊÐíͨ¹ýÔÊÐíͨ¹ýͨÐÅÁ÷ÄÚ²¿ÍøÂçÊܵ½½ûֹͨÐÅÁ÷·À»ðǽ第8章防火墙技术的原理与应用防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照TCP/IP协议的层次,防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层,首先依据各层所包含的信息判断是否遵循安全规则,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的安全管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全,就必须在每台主机上安装安全软件,并对每台主机都要定时检查和配置更新。归纳起来,防火墙的功能有:*过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。第8章防火墙技术的原理与应用*限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的Mail、FTP、WWW服务器等可让外部网络访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。*网络访问审计。防火墙是外部网络与受保护网络之间的惟一网络通道,可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网...
