防火墙技术介绍ppt课件

《防火墙技术介绍ppt课件》由会员分享，可在线阅读，更多相关《防火墙技术介绍ppt课件（39页珍藏版）》请在装配图网上搜索。

1、防火墙的定义防火墙的定义u防防火火墙墙是是设设置置在在被被保保护护网网络络和和外外部部网网络络之之间间的的一一道道屏屏障障，实实现现网网络络的的安安全全保保护护，以以防防止止发发生生不不可可预预测测的的、潜潜在在破破坏坏性性的的侵侵入入。防防火火墙墙本本身身具具有有较较强强的的抗抗攻攻击击能能力力，它它是是提提供供信信息息安安全全服服务务、实实现现网网络络和和信信息息安安全全的的基基础础设设施施。图图8.1为为防防火火墙墙示意图。示意图。防火墙的基本概念防火墙的基本概念图图1防火墙示意图防火墙示意图 返回本节防火墙的发展简史防火墙的发展简史u第第一一代代防防火火墙墙：采采用用了了包包过过滤滤（

2、Packet Filter）技术。技术。u第第二二、三三代代防防火火墙墙：1989年年，推推出出了了电电路路层层防火墙，和应用层防火墙的初步结构。防火墙，和应用层防火墙的初步结构。u第第四四代代防防火火墙墙：1992年年，开开发发出出了了基基于于动动态态包过滤技术的第四代防火墙。包过滤技术的第四代防火墙。u第第五五代代防防火火墙墙：1998年年，NAI公公司司推推出出了了一一种自适应代理技术，可以称之为第五代防火墙。种自适应代理技术，可以称之为第五代防火墙。图图 2防火墙技术的简单发展历史防火墙技术的简单发展历史 返回本节设置防火墙的目的和功能设置防火墙的目的和功能u（1）防火墙是网络安全的屏

3、障）防火墙是网络安全的屏障u（2）防火墙可以强化网络安全策略）防火墙可以强化网络安全策略u（3）对网络存取和访问进行监控审计）对网络存取和访问进行监控审计u（4）防止内部信息的外泄）防止内部信息的外泄返回本节防火墙的局限性防火墙的局限性u（1）防火墙防外不防内。）防火墙防外不防内。u（2）防防火火墙墙难难于于管管理理和和配配置置，易易造造成成安安全全漏漏洞。洞。u（3）很很难难为为用用户户在在防防火火墙墙内内外外提提供供一一致致的的安安全策略。全策略。u（4）防火墙只实现了粗粒度的访问控制。）防火墙只实现了粗粒度的访问控制。返回本节防火墙技术发展动态和趋势防火墙技术发展动态和趋势u（1）优良的

4、性能）优良的性能u（2）可扩展的结构和功能）可扩展的结构和功能u（3）简化的安装与管理）简化的安装与管理u（4）主动过滤）主动过滤u（5）防病毒与防黑客）防病毒与防黑客返回本节防火墙的技术种类防火墙的技术种类u1包过滤防火墙包过滤防火墙u2代理防火墙代理防火墙u3状态监视器防火墙状态监视器防火墙u4复合式防火墙复合式防火墙防火墙技术防火墙技术包过滤防火墙包过滤防火墙u包过滤防火墙的工作原理包过滤防火墙的工作原理 采采用用这这种种技技术术的的防防火火墙墙产产品品，通通过过在在网网络络中中的的适适当当位位置置对对数数据据包包进进行行过过滤滤，根根据据检检查查数数据据流流中中每每个个数数据据包包的的

5、源源地地址址、目目的的地地址址、所所有有的的TCP端端口口号号和和TCP链链路路状状态态等等要要素素，然然后后依依据据一一组组预预定定义义的的规规则则，以以允允许许合合乎乎逻逻辑辑的的数数据据包包通通过过防防火火墙墙进进入入到到内内部部网网络络，而而将将不不合合乎乎逻逻辑辑的的数数据据包包加加以删除。以删除。包过滤防火墙包过滤防火墙u（1）数数据据包包过过滤滤技技术术的的发发展展：静静态态包包过过滤滤、动态包过滤。动态包过滤。u（2）包包过过滤滤的的优优点点：不不用用改改动动应应用用程程序序、一一个个过过滤滤路路由由器器能能协协助助保保护护整整个个网网络络、数数据据包包过过滤滤对用户透明、过滤

6、路由器速度快、效率高。对用户透明、过滤路由器速度快、效率高。u（3）包包过过滤滤的的缺缺点点：不不能能彻彻底底防防止止地地址址欺欺骗骗；一一些些应应用用协协议议不不适适合合于于数数据据包包过过滤滤（如如UDP协协议议）；正正常常的的数数据据包包过过滤滤路路由由器器无无法法执执行行某某些些安安全全策策略；安全性较差略；安全性较差；数据包工具存在很多局限性。数据包工具存在很多局限性。图3包过滤处理图4静态包过滤防火墙图5动态包过滤防火墙u（1）代理防火墙的原理：）代理防火墙的原理：代代理理防防火火墙墙运运行行在在两两个个网网络络之之间间，它它对对于于客客户户来来说说像像是是一一台台真真的的服服务务

7、器器一一样样，而而对对于于外外界界的的服服务务器器来来说说，它它又又是是一一台台客客户户机机。当当代代理理服服务务器器接接收收到到用用户户的的请请求求后后，会会检检查查用用户户请请求求的的站站点点是是否否符符合合公公司司的的要要求求，如如果果公公司司允允许许用用户户访访问问该该站站点点的的话话，代代理理服服务务器器会会像像一一个个客客户户一一样样，去去那那个个站点取回所需信息再转发给客户。站点取回所需信息再转发给客户。代理防火墙代理防火墙u代理技术的优点代理技术的优点1）代理易于配置。代理易于配置。2）代理能生成各项记录。代理能生成各项记录。3）代理能灵活、完全地控制进出流量、内容。）代理能灵

8、活、完全地控制进出流量、内容。4）代理能过滤数据内容。代理能过滤数据内容。5）代理能为用户提供透明的加密机制。）代理能为用户提供透明的加密机制。6）代理可以方便地与其他安全手段集成。）代理可以方便地与其他安全手段集成。u代理技术的缺点代理技术的缺点1）代理速度较路由器慢。）代理速度较路由器慢。2）代理对用户不透明。代理对用户不透明。3）对于每项服务代理可能要求不同的服务器。）对于每项服务代理可能要求不同的服务器。4）代理服务不能保证免受所有协议弱点的限制。）代理服务不能保证免受所有协议弱点的限制。5）代理不能改进底层协议的安全性。）代理不能改进底层协议的安全性。代理的工作方式两种防火墙技术两种

9、防火墙技术 返回本节状态监视器防火墙状态监视器防火墙（1）状态监视器防火墙的工作原理状态监视器防火墙的工作原理 这这种种防防火火墙墙安安全全特特性性非非常常好好，它它采采用用了了一一个个在在网网关关上上执执行行网网络络安安全全策策略略的的软软件件引引擎擎，称称之之为为检检测测模模块块。检检测测模模块块在在不不影影响响网网络络正正常常工工作作的的前前提提下下，采采用用抽抽取取相相关关数数据据的的方方法法对对网网络络通通信信的的各各层层实实施施监监测测，抽抽取取部部分分数数据据，即即状状态态信信息息，并并动动态地保存起来作为以后指定安全决策的参考。态地保存起来作为以后指定安全决策的参考。（2）状态

10、监视器防火墙的优缺点状态监视器防火墙的优缺点状态监视器的优点：状态监视器的优点：检检测测模模块块支支持持多多种种协协议议和和应应用用程程序序，并并可可以以很很容易地实现应用和服务的扩充。容易地实现应用和服务的扩充。它它会会监监测测RPC和和UDP之之类类的的端端口口信信息息，而而包包过过滤和代理网关都不支持此类端口。滤和代理网关都不支持此类端口。性能坚固性能坚固状态监视器的缺点：状态监视器的缺点：配置非常复杂。配置非常复杂。会降低网络的速度。会降低网络的速度。4复合式防火墙复合式防火墙u常见是代理服务器和状态分析技术的组合常见是代理服务器和状态分析技术的组合u具有对一切连接尝试进行过滤的功能；

11、具有对一切连接尝试进行过滤的功能；u提取和管理多种状态信息的功能；提取和管理多种状态信息的功能；u智能化做出安全控制和流量控制的决策；智能化做出安全控制和流量控制的决策；u提供高性能的服务和灵活的适应性；提供高性能的服务和灵活的适应性；u具有网络内外完全透明的特性。具有网络内外完全透明的特性。防火墙的优缺点防火墙的优缺点u优点：优点：1、保护网络中脆弱的服务、保护网络中脆弱的服务2、实现网络安全性监视和实时报警、实现网络安全性监视和实时报警3、增强保密性和强化私有权、增强保密性和强化私有权4、实现网络地址转换、实现网络地址转换5、实现安全性失效和自动故障恢复、实现安全性失效和自动故障恢复u缺点

12、：缺点：1、不能防范恶毒的知情者（内网用户和内外串通）、不能防范恶毒的知情者（内网用户和内外串通）2、不能防范不经过它的连接、不能防范不经过它的连接3、不能防备全部的威胁，特别是新产生的威胁、不能防备全部的威胁，特别是新产生的威胁4、不能有效地防范病毒的攻击、不能有效地防范病毒的攻击现代现代防火墙的安全技术及防火墙的安全技术及实现方式实现方式第四代防火墙技术第四代防火墙技术u第四代防火墙，具有安全操作系统的防火墙产品。第四代防火墙，具有安全操作系统的防火墙产品。u1双端口或三端口的结构双端口或三端口的结构新新一一代代防防火火墙墙产产品品具具有有两两个个或或三三个个独独立立的的网网卡卡，内内外外

13、两两个个网网卡卡可可不不作作IP转转化化而而串串接接于于内内部部网网与与外外部部网网之之间间，另另一一个个网卡可专用于对服务器的安全保护。网卡可专用于对服务器的安全保护。u2透明的访问方式透明的访问方式以以前前的的防防火火墙墙在在访访问问方方式式上上要要么么要要求求用用户户作作系系统统登登录录，要要么么需需要要通通过过SOCKS等等库库路路径径修修改改客客户户机机的的应应用用。第第四四代代防防火火墙墙利利用用了了透透明明的的代代理理系系统统技技术术，从从而而降降低低了了系系统统登登录录固固有的安全风险和出错概率。有的安全风险和出错概率。u3灵活的代理系统灵活的代理系统代代理理系系统统是是一一种

14、种将将信信息息从从防防火火墙墙的的一一侧侧传传送送到到另另一一侧侧的的软软件件模模块块。第第四四代代防防火火墙墙采采用用了了两两种种代代理理机机制制，一一种种用用于于代代理理从从内内部部网网络络到到外外部部网网络络的的连连接接，另另一一种种用用于于代代理理从从外外部部网网络络到到内内部部网网络络的的连连接接。前前者者采采用用网网络络地地址址转转换换（NAT）技技术术来来解解决决，后后者者采采用用非非保保密密的的用用户户定定制制代代理理或或保保密密的的代代理理系系统统技术来解决。技术来解决。u4多级的过滤技术多级的过滤技术为为保保证证系系统统的的安安全全性性和和防防护护水水平平，第第四四代代防防

15、火火墙墙采采用用了了三三级级过过滤滤措措施施，并并辅辅以以鉴鉴别别手手段段。在在分分组组过过滤滤一一级级，能能过过滤滤掉掉所所有有的的源源路路由由分分组组和和假假冒冒的的IP源源地地址址；在在应应用用级级网网关关一一级级，能能利利用用FTP、SMTP等等各各种种网网关关，控控制制和和监监测测Internet提提供供的的所所用用通通用用服服务务；在在电电路路网网关关一一级级，实实现现内内部部主主机机与与外外部部站站点的透明连接，并对服务的通行实行严格控制。点的透明连接，并对服务的通行实行严格控制。u5网络地址转换技术（网络地址转换技术（NAT）第第四四代代防防火火墙墙利利用用NAT技技术术能能透

16、透明明地地对对所所有有内内部部地地址址作作转转换换，使使外外部部网网络络无无法法了了解解内内部部网网络络的的内内部部结结构构，同同时时允允许许内内部部网网络络使使用用自自己己编编的的IP地地址址和和专专用用网网络络，防防火火墙墙能能详详尽尽记记录每一个主机的通信，确保每个分组送往正确的地址。录每一个主机的通信，确保每个分组送往正确的地址。u6 Internet网关技术网关技术由由于于是是直直接接串串连连在在网网络络之之中中，第第四四代代防防火火墙墙必必须须支支持持用用户户在在Internet互互连连的的所所有有服服务务，同同时时还还要要防防止止与与Internet服服务务有有关关的的安安全全漏

17、漏洞洞。故故它它要要能能以以多多种种安安全全的的应应用用服服务务器器（包包括括FTP、Finger、mail、Ident、News、WWW等等）来来实实现现网网关关功功能能。为为确确保保服服务务器器的的安安全全性性，对对 所所 有有 的的 文文 件件 和和 命命 令令 均均 要要 利利 用用“改改 变变 根根 系系 统统 调调 用用（chroot）”作物理上的隔离。作物理上的隔离。u7、安全服务器网络（、安全服务器网络（SSN）利用保护策略对服务器实施保护，利用网卡将对外利用保护策略对服务器实施保护，利用网卡将对外服务器作独立网络处理，与内部网关安全隔离。服务器作独立网络处理，与内部网关安全隔

18、离。u8用户鉴别与加密用户鉴别与加密为为了了降降低低防防火火墙墙产产品品在在Telnet、FTP等等服服务务和和远远程程管管理理上上的的安安全全风风险险，鉴鉴别别功功能能必必不不可可少少，第第四四代代防防火火墙墙采采用用一一次次性性使使用用的的口口令令字字系系统统来来作作为为用用户户的鉴别手段，并实现了对邮件的加密。的鉴别手段，并实现了对邮件的加密。u9用户定制服务用户定制服务为为满满足足特特定定用用户户的的特特定定需需求求，第第四四代代防防火火墙墙在在提提供供众众多多服服务务的的同同时时，还还为为用用户户定定制制提提供供支支持持，这这类类选选项项有有：通通用用TCP，出出站站UDP、FTP、

19、SMTP等等类类，如如果果某某一一用用户户需需要要建建立立一一个个数数据据库库的的代代理理，便便可利用这些支持，方便设置。可利用这些支持，方便设置。u10审计和告警审计和告警第第四四代代防防火火墙墙产产品品的的审审计计和和告告警警功功能能十十分分健健全全，日日志志文文件件包包括括：一一般般信信息息、内内核核信信息息、核核心心信信息息、接接收收邮邮件件、邮邮件件路路径径、发发送送邮邮件件、已已收收消消息息、已已发发消消息息、连连接接需需求求、已已鉴鉴别别的的访访问问、告告警警条条件件、管管理理日日志志、进进站站代代理理、FTP代代理理、出出站站代代理理、邮邮件件服服务务器器、域域名名服服务务器器

20、等等。告告警警功功能能会会守守住住每每一一个个TCP或或UDP探探寻寻，并并能能以以发发出出邮邮件件、声声响等多种方式报警。响等多种方式报警。防火墙的基本组成结构防火墙的基本组成结构u 1屏蔽路由器屏蔽路由器u 2双宿堡垒主机双宿堡垒主机u 3屏蔽主机防火墙屏蔽主机防火墙u 4屏蔽子网防火墙屏蔽子网防火墙 1屏蔽路由器屏蔽路由器u又称包过滤路由器，在一般路由器的基础上增又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它加了一些新的安全控制功能，是一个检查通过它的数据包的路由器。的数据包的路由器。屏蔽路由器示意图 2双宿堡垒主机双宿堡垒主机u又称应用型防火墙，在运

21、行防火墙软件的堡垒又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。主机上运行代理服务器。双宿堡垒主机示意图3屏蔽主机防火墙屏蔽主机防火墙u屏蔽主机防火墙由包过滤路由器和堡垒主机（屏蔽主机防火墙由包过滤路由器和堡垒主机（Bastion Host）组成，它所提供的安全性能要比包过滤防火墙系）组成，它所提供的安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。安全性之前，必须首

22、先突破这两种不同的安全系统。屏蔽主机网关示意图u原理和实现过程原理和实现过程：堡垒主机位于内部网络上，而包过滤路由器堡垒主机位于内部网络上，而包过滤路由器则放置在内部网络和外部网络之间。在路由器上则放置在内部网络和外部网络之间。在路由器上设置相应的规则，使得外部系统只能访问堡垒主设置相应的规则，使得外部系统只能访问堡垒主机。由于内部主机与堡垒主机处于同一个网络，机。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问外部网络，或者是要内部系统是否允许直接访问外部网络，或者是要求使用堡垒主机上的代理服务来访问外部网络完求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。

23、对路由器的过滤规全由企业的安全策略来决定。对路由器的过滤规则进行配置，使得其只接收来自堡垒主机的内部则进行配置，使得其只接收来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务，从数据包，就可以强制内部用户使用代理服务，从而加强内部用户对外部而加强内部用户对外部Internet访问的管理。访问的管理。4屏蔽子网防火墙屏蔽子网防火墙u屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、网络隔离开，堡垒主机、信息服务器、Modem组，以及组，以及其他公用服务器放在该子网中，这个子网称为其他公用服务器放在该子网中，这个子网

24、称为“停火区停火区”或或“非军事区非军事区”（DeMilitarised Zone，DMZ）屏蔽子网防火墙示意图屏蔽子网防火墙示意图防火墙的物理位置防火墙的物理位置u1、服务器置于防火墙之内、服务器置于防火墙之内u2、服务器置于防火墙之外、服务器置于防火墙之外u3、服务器置于防火墙之上、服务器置于防火墙之上 内内 部部网网Web 服务器服务器防火墙防火墙防火墙防火墙Internet1、服务器置于防火墙之内服务器置于防火墙之内 如图所示，将如图所示，将Web服务器装在防服务器装在防火墙内的好处是它得到了安全保护，不火墙内的好处是它得到了安全保护，不容易被黑客闯入。容易被黑客闯入。内内 部部网网W

25、eb 服务器服务器防火墙防火墙防火墙防火墙Internet 如图所示，为保证内部网络的安如图所示，为保证内部网络的安全，将全，将Web服务器完全置于防火墙之外服务器完全置于防火墙之外是比较合适的。在这种模式中，是比较合适的。在这种模式中，Web服服务器不受保护，但内部网则处于保护之务器不受保护，但内部网则处于保护之下。下。2、服务器置于防火墙之外服务器置于防火墙之外3 服务器置于防火墙之上服务器置于防火墙之上 内内 部部网网Web 防火墙和防火墙和 服务器服务器Internet 如图所示，有些管理者试图在防如图所示，有些管理者试图在防火墙机器上运行火墙机器上运行Web服务器，以此增强服务器，以此增强Web站点的安全性。站点的安全性。