防火墻技術(shù)及應(yīng)用(教學(xué))

第8章防火墻技術(shù)及應(yīng)用安全目標(biāo):機密性,完整性,抗抵賴性,可用性密碼理論:數(shù)據(jù)加密,數(shù)字簽名,消息摘要,密鑰管理平臺安全:

物理安全

網(wǎng)絡(luò)安全系統(tǒng)安全

數(shù)據(jù)安全邊界安全用戶安全安全理論:

身份驗證

訪問控制審計追蹤安全協(xié)議安全技術(shù):

防火墻技術(shù)

漏洞掃描技術(shù)入侵檢測技術(shù)防病毒技術(shù)安全管理安全標(biāo)準(zhǔn)安全策略安全評價安全監(jiān)控1、什么是防火墻2、防火墻的作用

4、防火墻常見的幾種類型學(xué)習(xí)要點：

第8章防火墻技術(shù)及應(yīng)用

5、如何在網(wǎng)絡(luò)中配置防火墻3、防火墻的技術(shù)§8.1防火墻技術(shù)概述§8.2防火墻的應(yīng)用§8.3防火墻的基本類型§8.4個人防火墻技術(shù)§8.5關(guān)于實驗操作第8章防火墻技術(shù)及應(yīng)用Internet兩個安全域之間信息流的唯一通道內(nèi)部網(wǎng)根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄、限流等）進出網(wǎng)絡(luò)的訪問行為。第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述本節(jié)概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準(zhǔn)則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設(shè)計準(zhǔn)則？§8.1防火墻技術(shù)概述8.1.1防火墻的基本概念

防火墻是一個或一組在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，包括硬件和軟件，目的是保護網(wǎng)絡(luò)不被可疑人侵?jǐn)_。本質(zhì)上說，它遵從的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。邏輯上看：物理上看：防火墻是一個分離器、一個限制器、也是一個分析器，有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻通常是一組硬件設(shè)備（路由器、主機）和軟件的多種組合。§8.1防火墻技術(shù)概述8.1.1防火墻的基本概念高效的防火墻應(yīng)符合如下特征：（1）防火墻是不同網(wǎng)絡(luò)之間，或網(wǎng)絡(luò)的不同安全域之間的唯一出入口，從里到外和從外到里的所有信息都必須通過防火墻；網(wǎng)絡(luò)邊界：即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和因特網(wǎng)之間連接、和其他業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。§8.1防火墻技術(shù)概述8.1.1防火墻的基本概念高效的防火墻應(yīng)符合如下特征（續(xù)1）：（2）通過安全策略來控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)不同安全域之間的通信，只有本地安全策略授權(quán)的通信才允許通過；§8.1防火墻技術(shù)概述8.1.1防火墻的基本概念高效的防火墻應(yīng)符合如下特征（續(xù)2）：（3）防火墻本身是免疫的，即防火墻本身具有較強的抗攻擊能力。防火墻自身應(yīng)具有非常強的抗攻擊免疫力是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其他應(yīng)用程序在防火墻上運行。一般采用Linux、UNIX或FreeBSD系統(tǒng)作為支撐其工作的操作系統(tǒng)。第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述本節(jié)概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準(zhǔn)則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設(shè)計準(zhǔn)則？§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能防火墻由于處于網(wǎng)絡(luò)邊界的特殊位置，因而被設(shè)計集成了非常多的安全防護功能和網(wǎng)絡(luò)連接管理功能。1）監(jiān)控并限制訪問2）控制協(xié)議和服務(wù)3）保護內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計基本功能§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問

2）控制協(xié)議和服務(wù)3）保護內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計針對網(wǎng)絡(luò)入侵的不安因素，防火墻通過采取控制進出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實時監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并加以分析和處理，及時發(fā)現(xiàn)存在的異常行為。采用兩種基本策略：即“黑名單”策略和“白名單”策略?！昂诿麊巍辈呗灾赋艘?guī)則禁止的訪問，其他都是允許的?！鞍酌麊巍辈呗灾赋艘?guī)則允許的訪問，其他都是禁止的?！?.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問2）控制協(xié)議和服務(wù)3）保護內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計針對網(wǎng)絡(luò)入侵的不安因素，防火墻對相關(guān)協(xié)議和服務(wù)進行控制使得只有授權(quán)的協(xié)議和服務(wù)才可以通過防火墻，從而大大降低了因某種服務(wù)和協(xié)議漏洞而引起不安全因素的可能性。如允許http協(xié)議利用TCP端口80進入網(wǎng)絡(luò)，而其他協(xié)議和端口將被拒絕?！?.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問2）控制協(xié)議和服務(wù)3）保護內(nèi)部網(wǎng)絡(luò)

4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計針對應(yīng)用軟件和操作系統(tǒng)的漏洞或“后門”，防火墻采用了與受保護網(wǎng)絡(luò)的操作系統(tǒng)、應(yīng)用軟件無關(guān)的體系結(jié)構(gòu)，其自身建立在安全操作系統(tǒng)之上。同時，針對受保護的內(nèi)部網(wǎng)絡(luò)。防火墻能夠及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對訪問進行限制；防火墻可以屏蔽受保護網(wǎng)絡(luò)的相關(guān)信息?！?.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問2）控制協(xié)議和服務(wù)3）保護內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計防火墻擁有靈活的地址轉(zhuǎn)換NAT(NetworkAddressTransfer)能力。地址轉(zhuǎn)換用于使用保留IP地址的內(nèi)部網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時對源地址進行轉(zhuǎn)換，能有效地隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。同時內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，使用保留IP地址就可以正常訪問公眾網(wǎng)，有效地解決了全局IP地址不足的問題。NAT的作用緩解IP地址耗盡 節(jié)約公用IP地址保證內(nèi)網(wǎng)穩(wěn)定性隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）示意圖：Internet4HostA受保護網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭源地址：1目地址：4源地址：目地址：4§8.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問2）控制協(xié)議和服務(wù)3）保護內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）

6）日志記錄與審計虛擬專用網(wǎng)被定義為通過一個公共網(wǎng)絡(luò)（Internet）建立的一個臨時的和安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全與穩(wěn)定的隧道，它是對企業(yè)內(nèi)部網(wǎng)的擴展。作為網(wǎng)絡(luò)特殊位置的防火墻應(yīng)具有VPN的功能，以簡化網(wǎng)絡(luò)的配置與管理。關(guān)于VPN技術(shù)詳見第九章?！?.1防火墻技術(shù)概述8.1.2防火墻的基本功能1）監(jiān)控并限制訪問2）控制協(xié)議和服務(wù)3）保護內(nèi)部網(wǎng)絡(luò)4）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）5）虛擬專用網(wǎng)（VPN）6）日志記錄與審計因為防火墻是所有進出信息必須通路，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行記錄，對網(wǎng)絡(luò)存取訪問進行和統(tǒng)計。這樣網(wǎng)絡(luò)管理人員通過對統(tǒng)計結(jié)果的分析，掌握網(wǎng)絡(luò)運行狀態(tài)，進而更加有效地管理整個網(wǎng)絡(luò)?！?.1防火墻技術(shù)概述8.1.2防火墻的基本功能補充：防火墻的擴展功能：支持第三方認(rèn)證服務(wù)器InternetRADIUS服務(wù)器OTP認(rèn)證服務(wù)器Zhanglongyong

12354876防火墻將認(rèn)證信息傳給真正的RADIUS服務(wù)器進行認(rèn)證將認(rèn)證結(jié)果傳給防火墻根據(jù)認(rèn)證結(jié)果決定用戶對資源的訪問權(quán)限第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述本節(jié)概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準(zhǔn)則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設(shè)計準(zhǔn)則？§8.1防火墻技術(shù)概述8.1.3防火墻的基本原理應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭10100100100101001000001110011110010010010100100000111001111不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表§8.1防火墻技術(shù)概述8.1.3防火墻的基本原理由上頁演示圖可知：所有的防火墻功能的實現(xiàn)都依賴于對通過防火墻的數(shù)據(jù)包的相關(guān)信息進行檢查，而且檢查的項目越多、層次越深，則防火墻越安全。由于現(xiàn)在計算機網(wǎng)絡(luò)結(jié)構(gòu)采用自頂向下的分層模型，而分層的主要依據(jù)是各層的功能劃分，不同層次功能的實現(xiàn)又是通過相關(guān)的協(xié)議來實現(xiàn)的。所以，防火墻檢查的重點是網(wǎng)絡(luò)協(xié)議及采用相關(guān)協(xié)議封裝的數(shù)據(jù)。第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述本節(jié)概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準(zhǔn)則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設(shè)計準(zhǔn)則？§8.1防火墻技術(shù)概述8.1.4防火墻的基本準(zhǔn)則作為可信賴的單位內(nèi)網(wǎng)與不可信賴的外部網(wǎng)絡(luò)之間的連接節(jié)點，防火墻在安全功能上必遵循以下基本規(guī)則，也可稱之為“黑名單”規(guī)則和“白名單”規(guī)則。1．所有未被允許的就是禁止的所有未被允許的就是禁止的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，所有未被允許的通信禁止通過防火墻。2．所有未被禁止的就是允許的所有未被禁止的就是允許的，這一準(zhǔn)則是指根據(jù)用戶的安全管理策略，防火墻轉(zhuǎn)發(fā)所有信息流，允許所有的用戶和站點對內(nèi)部網(wǎng)絡(luò)的訪問，然后網(wǎng)絡(luò)管理員按照IP地址等參數(shù)對未授權(quán)的用戶或不信任的站點進行逐項屏蔽?！?.1防火墻技術(shù)概述8.1.5防火墻的性能指標(biāo)（補充）常見防火墻性能指標(biāo)吞吐量延時丟包率背靠背最大并發(fā)連接數(shù)最大連接建立速率§8.1防火墻技術(shù)概述1、吞吐量定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個網(wǎng)絡(luò)的性能

~;%#@*$^&*&^#**(&Smartbits6000B測試儀101100101000011111001010010001001000以最大速率發(fā)包直到出現(xiàn)丟包時的最大值防火墻吞吐量小就會成為網(wǎng)絡(luò)的瓶頸100M60M§8.1防火墻技術(shù)概述2、延時數(shù)據(jù)包首先排隊待防火墻檢查后轉(zhuǎn)發(fā)定義：入口處輸入幀最后1個比特到達(dá)至出口處輸出幀的第一個比特輸出所用的時間間隔衡量標(biāo)準(zhǔn)：防火墻的時延能夠體現(xiàn)它處理數(shù)據(jù)的速度

10101001001001001010Smartbits6000B測試儀101100101000011111001010010001001000最后1個比特到達(dá)第一個比特輸出時間間隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地§8.1防火墻技術(shù)概述3、丟包率定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比衡量標(biāo)準(zhǔn)：防火墻的丟包率對其穩(wěn)定性、可靠性有很大的影響

Smartbits6000B測試儀發(fā)送了1000個包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個包丟包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001§8.1防火墻技術(shù)概述4、最大并發(fā)連接數(shù)定義：指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)。衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能。并發(fā)連接數(shù)指標(biāo)可以用來衡量穿越防火墻的主機之間能同時建立的最大連接數(shù)并發(fā)連接并發(fā)連接§8.1防火墻技術(shù)概述5、最大連接建立速率定義：指穿越防火墻的主機之間或主機與防火墻之間單位時間內(nèi)建立的最大連接數(shù)。衡量標(biāo)準(zhǔn)：最大并發(fā)連接數(shù)建立速率主要用來衡量防火墻單位時間內(nèi)建立和維持TCP連接的能力并發(fā)連接并發(fā)連接單位時間內(nèi)增加的并發(fā)連接數(shù)第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述§8.2防火墻的應(yīng)用§8.3防火墻的基本類型§8.4個人防火墻技術(shù)§8.5關(guān)于實驗操作Internet兩個安全域之間信息流的唯一通道內(nèi)部網(wǎng)根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄、限流等）進出網(wǎng)絡(luò)的訪問行為。本節(jié)概要8.2.1

防火墻在網(wǎng)絡(luò)中的位置8.2.2使用防火墻后網(wǎng)絡(luò)的組成8.2.3防火墻應(yīng)用的局限性§8.2防火墻的應(yīng)用第8章防火墻技術(shù)及應(yīng)用在計算機網(wǎng)絡(luò)管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個相對安全的網(wǎng)絡(luò)環(huán)境。但并不是絕對安全，采用了防火墻的網(wǎng)絡(luò)仍然有一些安全漏洞和隱患?！?.2防火墻的應(yīng)用8.2.1防火墻在網(wǎng)絡(luò)中的位置防火墻多應(yīng)用于一個局域網(wǎng)的出口處或置于兩個網(wǎng)絡(luò)中間。且絕大多數(shù)的局域網(wǎng)與Internet相連時，一般在局域網(wǎng)中心交換機和路由器之間放置防火墻，以保證局域網(wǎng)資源的安全。根據(jù)應(yīng)用的不同，防火墻一般分為路由模式和透明模式兩類。透明模式防火墻：§8.2防火墻的應(yīng)用8.2.1防火墻在網(wǎng)絡(luò)中的位置路由模式防火墻（“不透明”式防火墻）：存在兩個局限：（1）防火墻各端口所連接的網(wǎng)絡(luò)必須位于不同的網(wǎng)段，否則兩個網(wǎng)絡(luò)之間將無法進行通信。（2）與防火墻直接連接的設(shè)備（計算機、路由器或交換機）的網(wǎng)關(guān)都要指向防火墻。注意：透明式防火墻不存在上述的局限。目前主流的防火墻產(chǎn)品同時支持上述兩種模式的防火墻。本節(jié)概要8.2.1

防火墻在網(wǎng)絡(luò)中的位置8.2.2使用防火墻后網(wǎng)絡(luò)的組成8.2.3防火墻應(yīng)用的局限性§8.2防火墻的應(yīng)用第8章防火墻技術(shù)及應(yīng)用在計算機網(wǎng)絡(luò)管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個相對安全的網(wǎng)絡(luò)環(huán)境。但并不是絕對安全，采用了防火墻的網(wǎng)絡(luò)仍然有一些安全漏洞和隱患?！?.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成如下，一個一般的局域網(wǎng)與Internet互聯(lián)：安全威脅整個網(wǎng)絡(luò)不安全+會發(fā)生什么§8.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成如下，一個一般的局域網(wǎng)+防火墻與Internet互聯(lián)：信賴域安全域，DMZ非信賴域§8.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成信賴域安全域（DMZ）非信賴域1．信賴域和非信賴域當(dāng)局域網(wǎng)通過防火墻接入公共網(wǎng)絡(luò)時，以防火墻為節(jié)點將網(wǎng)絡(luò)分為內(nèi)、外兩部分，其中內(nèi)部的局域網(wǎng)稱為信賴域，而外部的公共網(wǎng)絡(luò)（如Internet）稱為非信賴域。2．信賴主機和非信賴主機位于信賴域中的主機因為具有較高的安全性，所以稱為信賴主機；而位于非信賴域中的主機因為安全性較低，所以稱為非信賴主機?！?.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成信賴域安全域（DMZ）非信賴域3．DMZ區(qū)

DMZ(demilitarizedzone)稱為“隔離區(qū)”或“非軍事化區(qū)”，它是介于信賴域和非信賴域之間的一個安全區(qū)域。DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，§8.2防火墻的應(yīng)用8.2.2使用防火墻后的網(wǎng)絡(luò)組成合理劃分網(wǎng)絡(luò),設(shè)置訪問控制點,保護私有網(wǎng)絡(luò).防止進攻者接近內(nèi)部網(wǎng)絡(luò)限制內(nèi)部用戶的外部訪問行為對外部隱藏內(nèi)部網(wǎng)絡(luò)細(xì)節(jié)提供內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連通OutsideWorldPrivateNetworkUnsolicitedRequestResponseDisallowed幾個數(shù)字：30%：CERNET出口正常向國外訪問流量占其帶寬的30%90%：受沖擊波影響，CERNET出口流量占其帶寬的90%10:1：受沖擊波影響，CERNET出口ICMP包與其他包的比為10：1幾近癱瘓……防火墻越來越重要!本節(jié)概要8.2.1

防火墻在網(wǎng)絡(luò)中的位置8.2.2使用防火墻后網(wǎng)絡(luò)的組成8.2.3防火墻應(yīng)用的局限性§8.2防火墻的應(yīng)用第8章防火墻技術(shù)及應(yīng)用在計算機網(wǎng)絡(luò)管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個相對安全的網(wǎng)絡(luò)環(huán)境。但并不是絕對安全，采用了防火墻的網(wǎng)絡(luò)仍然有一些安全漏洞和隱患?！?.2防火墻的應(yīng)用8.2.3防火墻應(yīng)用局限防火墻雖是目前應(yīng)用最為廣泛，同時也是最有效的網(wǎng)絡(luò)安全技術(shù)，但它并不是全能的，存在有局限，主要表現(xiàn)為：1．防火墻不能防范未通過自身的網(wǎng)絡(luò)連接對于有線網(wǎng)絡(luò)來說，防火墻是進出網(wǎng)絡(luò)的唯一節(jié)點。但是如果使用無線網(wǎng)絡(luò)（如無線局域網(wǎng)），內(nèi)部用戶與外部網(wǎng)絡(luò)之間以及外部用戶與內(nèi)部網(wǎng)絡(luò)之間的通信就會繞過防火墻，這時防火墻就沒有任何用處。2．防火墻不能防范全部的威脅防火墻安全策略的制定建立在已知的安全威脅上，所以防火墻能夠防范已知的安全威脅?！?.2防火墻的應(yīng)用8.2.3防火墻應(yīng)用局限防火墻雖是目前應(yīng)用最為廣泛，同時也是最有效的網(wǎng)絡(luò)安全技術(shù)，但它并不是全能的，存在有局限，主要表現(xiàn)為：3．防火墻不能防止感染了病毒的軟件或文件的傳輸4．防火墻不能防范內(nèi)部用戶的惡意破壞據(jù)相關(guān)資料統(tǒng)計，目前局域網(wǎng)中有80%以上的網(wǎng)絡(luò)破壞行為是由內(nèi)部用戶所為，如在局域網(wǎng)中竊取其他主機上的數(shù)據(jù)、對其他主機進行網(wǎng)絡(luò)攻擊、散布計算機病毒等。這些行為都不通過位于局域網(wǎng)出口處的防火墻，防火墻對其無能為力?！?.2防火墻的應(yīng)用8.2.3防火墻應(yīng)用局限防火墻雖是目前應(yīng)用最為廣泛，同時也是最有效的網(wǎng)絡(luò)安全技術(shù)，但它并不是全能的，存在有局限，主要表現(xiàn)為：5．防火墻本身也存在安全問題防火墻的工作過程要依賴于防火墻操作系統(tǒng)，與我們平常所使用的Windows、Linux等操作系統(tǒng)一樣，防火墻操作系統(tǒng)也存在安全漏洞，而且防火墻的功能越強、越復(fù)雜，其漏洞就會越多。6．認(rèn)為因素在很大程度影響了防火墻的功能做和管理防火墻的人：了解用戶的安全需求？知識水平如何？對內(nèi)部網(wǎng)絡(luò)的安全需求？管理水平？防火墻產(chǎn)品的熟悉程度等？都影響著防火墻的功能！第8章防火墻技術(shù)及應(yīng)用§8.1防火墻技術(shù)概述§8.2防火墻的應(yīng)用§8.3防火墻的基本類型§8.4個人防火墻技術(shù)§8.5關(guān)于實驗操作Internet兩個安全域之間信息流的唯一通道內(nèi)部網(wǎng)根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄、限流等）進出網(wǎng)絡(luò)的訪問行為。

第8章防火墻技術(shù)及應(yīng)用§8.3防火墻的基本類型

在防火墻的整體概念的基礎(chǔ)上，細(xì)化對防火墻技術(shù)的深入了解，一定要進行防火墻的分類。本節(jié)從防火墻體系結(jié)構(gòu)入手，對防火墻進行分類，同時簡要的介紹防火墻在不同結(jié)構(gòu)類型的情況下如何工作。本節(jié)概要8.3.1

包過濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態(tài)檢測防火墻§8.3防火墻的基本類型8.3.1包過濾防火墻包過濾防火墻是最早使用的一種防火墻技術(shù)，它在網(wǎng)絡(luò)的進出口處對通過的數(shù)據(jù)包進行檢查，并根據(jù)已設(shè)置的安全策略決定數(shù)據(jù)包是否允許通過。包過濾型防火墻的核心技術(shù)就是安全策略設(shè)計即包過濾算法的設(shè)計。

1、IP包（IP分組）IP頭部（分組過防火墻是只檢查IP及TCP頭部）§8.3防火墻的基本類型8.3.1包過濾防火墻2、包過濾防火墻的工作原理應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層包過濾是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問策略（過濾規(guī)則），檢查每一個數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定是否允許該數(shù)據(jù)包通過防火墻。包過濾防火墻工作在OSI模型的IP和TCP層缺點：安全性低不能根據(jù)狀態(tài)信息進行控制僅處理網(wǎng)絡(luò)層的信息伸縮性差維護不直觀優(yōu)點：速度快，性能高對應(yīng)用程序透明§8.3防火墻的基本類型8.3.1包過濾防火墻2、包過濾防火墻的工作原理包過濾模型工作過程當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過濾規(guī)則后，在防火墻中會形成一個過濾規(guī)則表。當(dāng)數(shù)據(jù)包進入防火墻時，防火墻會將IP分組的頭部信息與過濾規(guī)則表進行逐條比對，根據(jù)比對結(jié)果決定是否允許數(shù)據(jù)包通過?！?.3防火墻的基本類型8.3.1包過濾防火墻3、包過濾防火墻的應(yīng)用特點（1）過濾規(guī)則表需要事先進行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的安全要求來定。（2）防火墻在進行檢查時，首先從過濾規(guī)則表中的第1個條目開始逐條進行，所以過濾規(guī)則表中條目的先后順序非常重要。（3）由于包過濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過濾防火墻對通過的數(shù)據(jù)包的速度影響不大，實現(xiàn)成本較低。但無法識別IP欺騙和基于應(yīng)用層的入侵。

第8章防火墻技術(shù)及應(yīng)用§8.3防火墻的基本類型本節(jié)概要8.3.1

包過濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態(tài)檢測防火墻

在防火墻的整體概念的基礎(chǔ)上，細(xì)化對防火墻技術(shù)的深入了解，一定要進行防火墻的分類。本節(jié)從防火墻體系結(jié)構(gòu)入手，對防火墻進行分類，同時簡要的介紹防火墻在不同結(jié)構(gòu)類型的情況下如何工作?！?.3防火墻的基本類型8.3.2代理防火墻代理技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù)，代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對每一個特定應(yīng)用都有的一個程序。應(yīng)用代理型防火墻(ApplicationProxy)是工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。§8.3防火墻的基本類型8.3.2代理防火墻1、代理防火墻的工作原理應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層FTPHTTPSMTP缺點：性能差伸縮性差只支持有限的應(yīng)用不透明工作在優(yōu)點：安全性高

提供應(yīng)用層的安全§8.3防火墻的基本類型8.3.2代理防火墻應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)10100100100101001000001110011110010010010100100000111001111不檢查IP報頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護比較弱原理示意圖§8.3防火墻的基本類型8.3.2代理防火墻1、代理防火墻的工作原理（續(xù)）從上圖看，代理防火墻具有傳統(tǒng)的代理服務(wù)器和防火墻的雙重功能。代理服務(wù)器位于客戶機與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器僅是一臺客戶機。§8.3防火墻的基本類型8.3.2代理防火墻2、代理防火墻的應(yīng)用特點代理防火墻具有以下的主要特點：（1）代理防火墻可以針對應(yīng)用層進行檢測和掃描，可有效地防止應(yīng)用層的惡意入侵和病毒。（2）代理防火墻具有較高的安全性。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過代理服務(wù)器的介入和轉(zhuǎn)換，而且在代理防火墻上會針對每一種網(wǎng)絡(luò)應(yīng)用（如HTTP）使用特定的應(yīng)用程序來處理。§8.3防火墻的基本類型8.3.2代理防火墻2、代理防火墻的應(yīng)用特點代理防火墻具有以下的主要特點：（3）代理服務(wù)器通常擁有高速緩存，緩存中保存了用戶最近訪問過的站點內(nèi)容。（4）代理防火墻的缺點是對系統(tǒng)的整體性能有較大的影響，系統(tǒng)的處理效率會有所下降，因為代理型防火墻對數(shù)據(jù)包進行內(nèi)部結(jié)構(gòu)的分析和處理，這會導(dǎo)致數(shù)據(jù)包的吞吐能力降低（低于包過濾防火墻）

第8章防火墻技術(shù)及應(yīng)用§8.3防火墻的基本類型

在防火墻的整體概念的基礎(chǔ)上，細(xì)化對防火墻技術(shù)的深入了解，一定要進行防火墻的分類。本節(jié)從防火墻體系結(jié)構(gòu)入手，對防火墻進行分類，同時簡要的介紹防火墻在不同結(jié)構(gòu)類型的情況下如何工作。本節(jié)概要8.3.1

包過濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態(tài)檢測防火墻§8.3防火墻的基本類型8.3.3狀態(tài)檢測防火墻狀態(tài)檢查技術(shù)能在網(wǎng)絡(luò)層實現(xiàn)所有需要的防火墻能力，它既有包過濾機制的速度和靈活，也有應(yīng)用級網(wǎng)關(guān)安全的優(yōu)點，它是包過濾器和應(yīng)用級網(wǎng)關(guān)功能的折衷。這是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是checkpoint技術(shù)公司率先提出，又稱“動態(tài)包過濾”。1、靜態(tài)包過濾的缺陷由于靜態(tài)包過濾技術(shù)要檢查進入防火墻的每一個數(shù)據(jù)包，所以在一定程序上影響了網(wǎng)絡(luò)的通信速度。另外，靜態(tài)包過濾技術(shù)固定地根據(jù)包的頭部信息進行規(guī)則的匹配，這種方法在遇到利用動態(tài)端口的應(yīng)用協(xié)議時就會出現(xiàn)問題。§8.3防火墻的基本類型8.3.3狀態(tài)檢測防火墻應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全性高能夠檢測所有進入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高：在數(shù)據(jù)包進入防火墻時就進行識別和判斷伸縮性好可以識別不同的數(shù)據(jù)包支持多種應(yīng)用，包括Internet應(yīng)用、數(shù)據(jù)庫應(yīng)用、多媒體應(yīng)用等用戶可方便添加新應(yīng)用抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表§8.3防火墻的基本類型8.3.3狀態(tài)檢測防火墻應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭10100100100101001000001110011110010010010100100000111001111不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表§8.3防火墻的基本類型8.3.3狀態(tài)檢測防火墻2、狀態(tài)檢測技術(shù)及優(yōu)勢狀態(tài)檢測技術(shù)即動態(tài)包過濾技術(shù)。狀態(tài)檢測防火墻檢查的不僅僅是數(shù)據(jù)包中的頭部信息，而且會跟蹤數(shù)據(jù)包的狀態(tài)，即不同數(shù)據(jù)包之間的共性。雖然，該技術(shù)和簡單包過濾技術(shù)一樣，都是只檢驗頭部，但本技術(shù)要建立連接的。狀態(tài)檢測防火墻的關(guān)鍵技術(shù)是連接的跟蹤功能。在網(wǎng)絡(luò)層攔截輸入包，并利用足夠的企圖連接的狀態(tài)信息作出決策。使用各種狀態(tài)表（statetables）來追蹤活躍的TCP會話。由用戶定義的訪問控制列表（ACL）決定允許建立哪些會話（session），只有與活躍會話相關(guān)聯(lián)的數(shù)據(jù)才能穿過防火墻。§8.3防火墻的基本類型8.3.3狀態(tài)檢測防火墻3、狀態(tài)檢測防火墻的工作過程在狀態(tài)檢測防火墻中有一個狀態(tài)檢測表，它由規(guī)則表和連接狀態(tài)表兩部分組成。狀態(tài)檢測防火墻的工作過程是：首先利用規(guī)則表進行數(shù)據(jù)包的過濾，此過程與靜態(tài)包過濾防火墻基本相同。如果某一個數(shù)據(jù)包（如“IP分組B1”）在進入防火墻時，規(guī)則表拒絕它通過，則防火墻直接丟棄該數(shù)據(jù)包，與該數(shù)據(jù)包相關(guān)的后續(xù)數(shù)據(jù)包（如“IP分組B2”、“IP分組B3”等）同樣會被拒絕通過?！?.3防火墻的基本類型8.3.3狀態(tài)檢測防火墻4、跟蹤連接狀態(tài)的方式狀態(tài)檢測防火墻跟蹤連接狀態(tài)的方式取決于所使用的傳輸層協(xié)議。（1）TCP數(shù)據(jù)包。（2）UDP數(shù)據(jù)包。P.233~234詳見§8.3防火墻的基本類型8.3.3狀態(tài)檢測防火墻5、狀態(tài)檢測防火墻的應(yīng)用特點與靜態(tài)包過濾防火墻相比，采用動態(tài)包過濾技術(shù)的狀態(tài)檢測防火墻通過對數(shù)據(jù)包的跟蹤檢測技術(shù)，解決了靜態(tài)包過濾防火墻中某些應(yīng)用需要使用動態(tài)端口時存在的安全隱患，解決了靜態(tài)包過濾防火墻存在的一些缺陷。與代理防火墻相比，狀態(tài)檢測防火墻不需要中斷直接參與通信的兩臺主機之間的連接，對網(wǎng)絡(luò)速度的影響較小。狀態(tài)檢測防火墻具有新型的分布式防火墻的特征。

狀態(tài)檢測防火墻的不足主要表現(xiàn)為：對防火墻CPU、內(nèi)存等硬件要求較高、安全性主要依賴于防火墻操作系統(tǒng)的安全性。

第8章防火墻技術(shù)及應(yīng)用§8.3防火墻的基本類型

在防火墻的整體概念的基礎(chǔ)上，細(xì)化對防火墻技術(shù)的深入了解，一定要進行防火墻的分類。本節(jié)從防火墻體系結(jié)構(gòu)入手，對防火墻進行分類，同時簡要的介紹防火墻在不同結(jié)構(gòu)類型的情況下如何工作。本節(jié)概要8.3.1

包過濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態(tài)檢測防火墻§8.3防火墻的基本類型8.3.4分布式防火墻1.傳統(tǒng)防火墻的不足雖然本章前面介紹的幾類傳統(tǒng)防火仍然是現(xiàn)代計算機網(wǎng)絡(luò)安全防范的支柱，但在安全要求較高的大型網(wǎng)絡(luò)中存在一些不足，主要表現(xiàn)如下：（1）結(jié)構(gòu)性限制。（2）防外不防內(nèi)。（3）效率問題。（4）故障問題?！?.3防火墻的基本類型8.3.4分布式防火墻2．分布式防火墻的概念

為了解決傳統(tǒng)防火墻正在面臨的問題，美國AT&T實驗室研究員StevenM.Bellovin于1999年在他的論文“分布式防火墻”（DistributedFirewalls，DFW）一文中首次提出了分布式防火墻的概念。在該論文中提供了DFW的方案：策略集中定制，在各臺主機上執(zhí)行，日志集中收集處理。根據(jù)DFW所需要完成的功能，分布式防火墻系統(tǒng)由以下3部分組成：（1）網(wǎng)絡(luò)防火墻。（2）主機防火墻。（3）中心管理服務(wù)器?！?.3防火墻的基本類型8.3.4分布式防火墻3．分布式防火墻的工作模式分布式防火墻的基本工作模式是：由中心管理服務(wù)器統(tǒng)一制定安全策略，然后將這些定義好的策略分發(fā)到各個相關(guān)節(jié)點。而安全策略的執(zhí)行則由相關(guān)主機節(jié)點獨立實施，由各主機產(chǎn)生的安全日志集中保存在中心管理服務(wù)器上。分布式防火墻的工作模式如圖所示?！?.3防火墻的基本類型8.3.4分布式防火墻4．分布式防火墻的應(yīng)用特點分布式防火墻的應(yīng)用優(yōu)勢主要表現(xiàn)為：（1）增加了針對主機的入侵檢測和防護功能，加強了對來自內(nèi)部網(wǎng)絡(luò)的攻擊防范，可以實施全方位的安全策略。（2）提高了系統(tǒng)性能，克服了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。（3）與網(wǎng)絡(luò)的物理撲拓結(jié)構(gòu)無關(guān)，支持VPN和移動計算等應(yīng)用，應(yīng)用更加廣泛。5．分布式防火墻產(chǎn)品雖然分布式防火墻技術(shù)的提出相對較晚，但相應(yīng)的產(chǎn)品非常豐富。目前，從總體來看國外的一些著名網(wǎng)絡(luò)設(shè)備制造商（如3COM、Cisco、美國網(wǎng)絡(luò)安全系統(tǒng)公司等）在分布式防火墻技術(shù)方面更加先進，所提供的產(chǎn)品性能也比