信息安全技术-第5章-访问控制与防火墙课件

《信息安全技术-第5章-访问控制与防火墙课件》由会员分享，可在线阅读，更多相关《信息安全技术-第5章-访问控制与防火墙课件（55页珍藏版）》请在装配图网上搜索。

1、第第5章章 访问控制与防火墙访问控制与防火墙第5章 访问控制与防火墙本章概要本章概要本章针对访问控制和防火墙技术展开详尽的描述：本章针对访问控制和防火墙技术展开详尽的描述：防火墙的分类；防火墙的分类；防火墙的工作原理；防火墙的工作原理；防火墙的不足；防火墙的不足；防火墙的部署方式。防火墙的部署方式。2本章概要本章针对访问控制和防火墙技术展开详尽的描述：2课程目标课程目标通过本章的学习，读者应能够：通过本章的学习，读者应能够：了解访问控制与防火墙的基本原理；了解访问控制与防火墙的基本原理；防火墙的部署方式；防火墙的部署方式；主流防火墙产品。主流防火墙产品。3课程目标通过本章的学习，读者应能够：3

2、5.1 网络防火墙的基本概念网络防火墙的基本概念 防防火火墙墙是是一一种种高高级级访访问问控控制制设设备备，是是在在被被保保护护网网和和外外网网之之间间执执行行访访问问控控制制策策略略的的一一种种或或一一系系列列部部件件的的组组合合，是是不不同同网网络络安安全全域域间间通通信信流流的的通通道道，能能根根据据企企业业有有关关安安全全政政策策控控制制(允允许许、拒拒绝绝、监监视视、记记录录)进进出出网网络络的的访访问问行行为为。它它是是网网络络的的第第一一道道防防线线，也也是是当当前前防防止止网网络络系系统统被被人人恶恶意意破破坏坏的的一一个个主主要要网网络络安安全全设设备备。它它本本质质上上是是

3、一一种种保保护护装装置置，在在两两个个网网之之间间构构筑筑了了一一个个保保护护层层。所所有有进进出出此此保保护护网网的的传传播播信信息息都都必必须须经经过过此此保保护护层层，并并在在此此接接受受检检查查和和连连接接，只只有有授授权权的的通通信信才才允允许许通通过过，从从而而使使被被保保护护网网和和外外部部网网在在一一定定意意义义下下隔隔离离，防防止非法入侵和破坏行为。止非法入侵和破坏行为。图1 网络拓扑图不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户 DMZ 45.1 网络防火墙的基本概念 防防火墙的主要技术防火墙的主

4、要技术应用层代理技术应用层代理技术 (Application Proxy)包过滤技术包过滤技术 (Packet Filtering)状态包过滤技术状态包过滤技术 (Stateful Packet Filtering)应用层表示层会话层传输层网络层数据链路层物理层防火墙的主要技术种类防火墙的主要技术种类5防火墙的主要技术应用层代理技术应用层表示层会话层传输层网络层5.2.1 包过滤技术包过滤技术包过滤技术的基本概念包过滤技术的基本概念 包包过过滤滤技技术术指指在在网网络络中中适适当当的的位位置置对对数数据据包包有有选选择择的的通通过过，选选择择的的依依据据是是系系统统内内设设置置的的过过滤滤规规

5、则则，只只有有满满足足过过滤滤规规则则的的数数据据包包才才被被转转发发到到相相应应的的网网络络接接口口，其其余余数数据据包包则则从从数数据流中删除。据流中删除。包包过过滤滤一一般般由由屏屏蔽蔽路路由由器器来来完完成成。屏屏蔽蔽路路由由器器也也称称过过滤滤路路由由器器，是是一一种种可可以以根根据据过过滤滤规规则则对对数数据据包包进进行行阻阻塞塞和和转转发发的路由器。的路由器。65.2.1 包过滤技术包过滤技术的基本概念6p包过滤技术的基本概念包过滤技术的基本概念 包包过过滤滤技技术术是是一一种种简简单单、有有效效的的安安全全控控制制技技术术，它它通通过过在在网网络络间间相相互互连连接接的的设设备

6、备上上加加载载允允许许、禁禁止止来来自自某某些些特特定定的的源源地地址址、目目的的地地址址、TCP端端口口号号等等规规则则，对对通通过过设设备备的的数数据据包进行检查，限制数据包进出内部网络。包进行检查，限制数据包进出内部网络。图3 防火墙示意图7包过滤技术的基本概念 包过滤技术是一种包过滤技术包过滤技术 包包过过滤滤技技术术是是防防火火墙墙最最常常用用的的技技术术。对对一一个个充充满满危危险险的的网网络络，这这种种方方法法可可以以阻阻塞塞某某些些主主机机或或网网络络连连入入内内部部网网络络，也也可以限制内部人员对一些危险和色情站点的访问。可以限制内部人员对一些危险和色情站点的访问。图4 包过

7、滤技术概念数据包数据包数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据数据TCP报头报头IP报头报头分组过滤判断信息企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制策略8包过滤技术 包过滤技术是防火墙最常用的p包过滤的优点和不足包过滤的优点和不足包过滤技术具有以下优点：包过滤技术具有以下优点：l用户透明；用户透明；l传输性能高；传输性能高；l成本较低。成本较

8、低。同样，包过滤技术也存在着以下几方面的不足：同样，包过滤技术也存在着以下几方面的不足：l该技术是安防强度最弱的防火墙技术；该技术是安防强度最弱的防火墙技术；l虽然有一些维护工具，但维护起来十分困难；虽然有一些维护工具，但维护起来十分困难；lIP包包的的源源地地址址、目目的的地地址址、TCP端端口口号号是是唯唯一一可可以以用用于于判判断断是否包允许通过的信息；是否包允许通过的信息；9包过滤的优点和不足包过滤技术具有以下优点：9只只能能阻阻止止一一种种类类型型的的地地址址欺欺骗骗，即即外外部部主主机机伪伪装装内内部部主主机机的的IP，而而对对外外部部主主机机伪伪装装其其他他外外部部主主机机的的I

9、P却却不不能能阻阻止止，另另外外不不能防止能防止DNS欺骗；欺骗；如如果果外外部部用用户户被被允允许许访访问问内内部部主主机机，则则他他就就可可以以直直接接访访问问内内部部网络上的任何主机。网络上的任何主机。10只能阻止一种类型的地址欺骗，即外部主机伪装内部主机的IP，而5.2.2状态包检测技术状态包检测技术 状状态态包包检检测测技技术术是是包包过过滤滤技技术术的的延延伸伸，常常被被称称为为“动动态态包包过过滤滤”，是是一一种种与与包包过过滤滤相相类类似似但但更更为为有有效效的的安安全全控控制制方方法法。对对新新建建的的应应用用连连接接，状状态态检检测测检检查查预预先先设设置置的的安安全全规规

10、则则，允允许许符符合合规规则则的的连连接接通通过过，并并在在内内存存中中记记录录下下该该连连接接的的相相关关信信息息，生生成成状状态态表表。对对该该连连接接的的后后续续数数据据包包，只只要要符符合合状状态态表表，就就可可以通过。适合网络流量大的环境。以通过。适合网络流量大的环境。状态包检测技术有以下主要特点：状态包检测技术有以下主要特点：a.高高安安全全性性：工工作作在在数数据据链链路路层层和和网网络络层层之之间间，确确保保截截取取和和检检测测所所有有通通过过网网络络的的原原始始数数据据包包。虽虽然然工工作作在在协协议议栈栈的的较较低低层层，但但可可以以监监视视所所有有应应用用层层的的数数据据

11、包包，从从中中提提取取有有用用的的信信息息，安安全全性得到较大提高。性得到较大提高。115.2.2状态包检测技术 状态包检测 b.高高效效性性：一一方方面面，通通过过防防火火墙墙的的数数据据包包都都在在协协议议栈栈的的较较低低层层处处理理，减减少少了了高高层层协协议议栈栈的的开开销销；另另一一方方面面，由由于于不不需需要要对对每每个个数数据据包包进进行行规规则则检检查查，从从而而使使得得性性能能得得到到了了较较大大提高。提高。C.可可伸伸缩缩和和易易扩扩展展：由由于于状状态态表表是是动动态态的的，当当有有一一个个新新的的应应用用时时，它它能能动动态态的的产产生生新新的的规规则则，而而无无需需另

12、另外外写写代代码码，因而具有很好的可伸缩和易扩展。因而具有很好的可伸缩和易扩展。d.应应用用范范围围广广：不不仅仅支支持持基基于于TCP的的应应用用，而而且且支支持持基基于无连接协议的应用。于无连接协议的应用。12 b.高效性：一方面，通过防火墙的数5.2.3 代理服务技术代理服务技术 代代 理理(Proxy)服服 务务 技技 术术 又又 称称 为为 应应 用用 层层 网网 关关(Applicationgateway)技技术术，是是运运行行于于内内部部网网络络与与外外部部网网络络之之间间的的主主机机(堡堡垒垒主主机机)之之上上的的一一种种应应用用。当当用用户户需需要要访访问问代代理理服服务务器

13、器另另一一侧侧主主机机时时，对对符符合合安安全全规规则则的的连连接接，代代理理服服务务器器将将代代替替主主机机响响应应，并并重重新新向向主主机机发发出出一一个个相相同同的的请请求求。当当此此连连接接请请求求得得到到回回应应并并建建立立起起连连接接之之后后，内内部部主主机机同同外外部部主主机之间的通信将通过代理程序将相应连接映射来实现。机之间的通信将通过代理程序将相应连接映射来实现。135.2.3 代理服务技术 代理(1.1.代理服务技术的优点代理服务技术的优点 a.代代理理放放火火墙墙的的最最大大好好处处是是透透明明性性。对对用用户户来来说说，代代理理服服务务器器提提供供了了一一个个“用用户户

14、正正在在与与目目标标服服务务器器直直接接打打交交道道”的的假假象象；对对目目标标服服务务器器来来说说，代代理理服服务务器器提提供供了了一一个个“目目标标服服务器正在与用户的主机系统直接打交道务器正在与用户的主机系统直接打交道”的假象。的假象。b.由由于于代代理理机机制制完完全全阻阻断断了了内内部部网网络络与与外外部部网网络络的的直直接接联联系系，保保证证了了内内部部网网络络拓拓扑扑结结构构等等重重要要信信息息被被限限制制在在代代理理网网关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。关内侧，不会外泄，从而减少了黑客攻击时所需的必要信息。141.代理服务技术的优点14 c.通通过过代代理理

15、访访问问Internet可可以以隐隐藏藏真真实实IP地地址址，同同时时解解决决合合法法IP地地址址不不够够用用的的问问题题。因因为为Internet见见到到的的只只是是代代理理服服务务器的地址，内部不合法的器的地址，内部不合法的IP地址可以通过代理访问地址可以通过代理访问Internet。d.用用于于应应用用层层的的过过滤滤规规则则相相对对于于包包过过滤滤路路由由器器来来说说更更容容易配置和测试。易配置和测试。e.应应用用层层网网关关有有能能力力支支持持可可靠靠的的拥拥护护认认证证并并提提供供详详细细的的注注册册信信息息。代代理理工工作作在在客客户户机机和和真真实实服服务务器器之之间间，可可提

16、提供供很很详细的日志和安全审计功能。详细的日志和安全审计功能。15 c.通过代理访问Internet可2.代理服务技术的不足代理服务技术的不足 a.有有限限的的连连接接：某某种种代代理理服服务务器器只只能能用用于于某某种种特特定定的的服服务务，如如FTP服服务务器器提提供供FTP服服务务，Telnet服服务务器器提提供供Telnet服服务务，所所能能提提供供的的服服务务和和可可伸伸缩缩性性是是有有限限的的。所所以以代代理理服服务务器器主要应用于安防要求较高但网络流量不太大的环境。主要应用于安防要求较高但网络流量不太大的环境。b.有有限限的的技技术术：代代理理服服务务器器不不能能为为RPC、Ta

17、lk和和其其他他一一些基于通用协议簇的服务提供代理。些基于通用协议簇的服务提供代理。162.代理服务技术的不足16 c.有限的性能：有限的性能：处理性能远不及状态包检测技术高。处理性能远不及状态包检测技术高。d.有有限限的的应应用用：代代理理服服务务器器的的应应用用也也受受到到诸诸多多限限制制。首首先先是是当当一一项项新新的的应应用用加加入入时时，如如果果代代理理服服务务程程序序不不予予支支持持，则则此此应应用用不不能能使使用用。解解决决的的方方法法之之一一是是自自行行编编制制特特定定服服务务的的代理服务程序，但工作量大，而且技术水平要求很高。代理服务程序，但工作量大，而且技术水平要求很高。1

18、7 c.有限的性能：处理性能远不及状态包5.3 防火墙的功能防火墙的功能利用防火墙保护内部网主要有以下几个主要功能：利用防火墙保护内部网主要有以下几个主要功能：控制对网点的访问和封锁网点信息的泄露控制对网点的访问和封锁网点信息的泄露 防防火火墙墙可可看看作作检检查查点点，所所有有进进出出的的信信息息都都必必须须穿穿过过它它，为为网网络络安安全全起起把把关关作作用用，有有效效地地阻阻挡挡外外来来的的攻攻击击，对对进进出出的的数数据据进进行行监监视视，只只允允许许授授权权的的通通信信通通过过；保保护护网网络络中中脆脆弱弱的的服务。服务。能限制被保护子网的泄露能限制被保护子网的泄露为为防防止止影影响

19、响一一个个网网段段的的问问题题穿穿过过整整个个网网络络传传播播，防防火火墙墙可可隔隔离离网网络络的的一一个个网网段段和和另另一一个个网网段段，从从而而限限制制了了局局部部网网络络安安全全问问题对整个网络的影响。题对整个网络的影响。185.3 防火墙的功能利用防火墙保护内部网主要有以下几个主具有审计作用具有审计作用 防防火火墙墙能能有有效效地地记记录录Internet网网的的活活动动，因因为为所所有有传传输输的的信信息息都都必必须须穿穿过过防防火火墙墙，防防火火墙墙能能帮帮助助记记录录有有关关内内部部网网和和外部网的互访信息和入侵者的任何企图。外部网的互访信息和入侵者的任何企图。能强制安全策略能

20、强制安全策略 Internt网网上上的的许许多多服服务务是是不不安安全全的的，防防火火墙墙是是这这些些服服务务的的“交交通通警警察察”，它它执执行行站站点点的的安安全全策策略略，仅仅仅仅允允许许“认认可可”和符合规则的服务通过。和符合规则的服务通过。此外，此外，防火墙还具有其他一些优点，防火墙还具有其他一些优点，如：如：监视网络的安全并产生报警；监视网络的安全并产生报警；保密性好，强化私有权；保密性好，强化私有权；提供加密和解密及便于网络实施密钥管理的能力。提供加密和解密及便于网络实施密钥管理的能力。19具有审计作用195.4防火墙的不足防火墙的不足 虽虽然然网网络络防防火火墙墙在在网网络络安

21、安全全中中起起着着不不可可替替代代的的作作用用，但但它不是万能的，有其自身的弱点，主要表现在：它不是万能的，有其自身的弱点，主要表现在：防火墙不能防火墙不能 防备病毒防备病毒 虽虽然然防防火火墙墙扫扫描描所所有有通通过过的的信信息息，但但扫扫描描多多半半是是针针对对源源与与目目标标地地址址以以及及端端口口号号，而而并并非非数数据据细细节节，有有太太多多类类型型的的病病毒毒和和太太多多种种方方法法可可使使病病毒毒在在数数据据中中隐隐藏藏，防防火火墙墙在在病病毒毒的的防防范上是不适用的。范上是不适用的。防火墙对不通过它的连接无能为力防火墙对不通过它的连接无能为力 虽虽然然防防火火墙墙能能有有效效的

22、的控控制制所所有有通通过过它它的的信信息息，但但对对从从网网络后门及调制解调器拨人的访问则无能为力。络后门及调制解调器拨人的访问则无能为力。205.4防火墙的不足 虽然网络防火墙在防火墙不能防备内部人员的攻击防火墙不能防备内部人员的攻击 目目前前防防火火墙墙只只提提供供对对外外部部网网络络用用户户攻攻击击的的防防护护，对对来来自自内内部部网网络络用用户户的的攻攻击击只只能能依依靠靠内内部部网网络络主主机机系系统统的的安安全全性性。所以，如果入侵者来自防火墙的内部，防火墙则无能为力。所以，如果入侵者来自防火墙的内部，防火墙则无能为力。限制有用的网络服务限制有用的网络服务 防防火火墙墙为为了了提提

23、高高被被保保护护网网络络的的安安全全性性，限限制制或或关关闭闭了了很很多多有有用用但但存存在在安安全全缺缺陷陷的的网网络络服服务务。由由于于多多数数网网络络服服务务在在设设计计之之初初根根本本没没有有考考虑虑安安全全性性，所所以以都都存存在在安安全全问问题题。防防火火墙墙限制这些网络服务等于从一个极端走向了另一个极端。限制这些网络服务等于从一个极端走向了另一个极端。21防火墙不能防备内部人员的攻击21防火墙不能防备新的网络安全问题防火墙不能防备新的网络安全问题 防防火火墙墙是是一一种种被被动动式式的的防防护护手手段段，只只能能对对现现在在已已知知的的网网络络威威胁胁起起作作用用。随随着着网网络

24、络攻攻击击手手段段的的不不断断更更新新和和新新的的网网络络应应用用的的出出现现，不不可可能能靠靠一一次次性性的的防防火火墙墙设设置置来来解解决决永永远远的的网网络络安全问题。安全问题。22防火墙不能防备新的网络安全问题225.5 防火墙的体系结构防火墙的体系结构 防防火火墙墙可可以以设设置置成成许许多多不不同同的的结结构构，并并提提供供不不同同级级别别的的安安全全，而而维维护护和和运运行行的的费费用用也也不不同同。防防火火墙墙有有多多种种分分类类方方式式。下下面面介介绍绍四四种种常常用用的的体体系系结结构构：筛筛选选路路由由器器、双双网网主主机机式式体体系结构屏蔽主机式体系结构和屏蔽子网式体系

25、结构。系结构屏蔽主机式体系结构和屏蔽子网式体系结构。在介绍之前，先了解几个相关的基本概念：在介绍之前，先了解几个相关的基本概念：l堡堡垒垒主主机机：高高度度暴暴露露于于Internet并并且且是是网网络络中中最最容容易易受受到到侵侵害害的的主主机机。它它是是防防火火墙墙体体系系的的大大无无畏畏者者，把把敌敌人人的的火火力力吸吸引引到到自自己己身身上上，从从而而达达到到保保护护其其他他主主机机的的目目的的。堡堡垒垒主主机机的的设设计计思思想想是是检检测测点点原原则则，把把整整个个网网络络的的安安全全问问题题集集中中在在某某个个主主机机上上解解决决，从从而而省省时时省省力力，不不用用考考虑虑其其他

26、他主主机机的的安安全全。堡堡垒垒主主机必须有严格的安防系统，因其最容易遭到攻击。机必须有严格的安防系统，因其最容易遭到攻击。235.5 防火墙的体系结构 防火墙屏屏蔽蔽主主机机：被被放放置置到到屏屏蔽蔽路路由由器器后后面面网网络络上上的的主主机机称称为为屏屏蔽蔽主主机，该主机能被访问的程度取决于路由器的屏蔽规则。机，该主机能被访问的程度取决于路由器的屏蔽规则。屏屏蔽蔽子子网网：位位于于屏屏蔽蔽路路由由器器后后面面的的子子网网，子子网网能能被被访访问问的的程程度度取决于路由器的屏蔽规则。取决于路由器的屏蔽规则。筛选路由式体系结构筛选路由式体系结构这这种种体体系系结结构构极极为为简简单单，路路由由

27、器器作作为为内内部部网网和和外外部部网网的的唯唯一一过过滤设备，如下图所示。滤设备，如下图所示。24屏蔽主机：被放置到屏蔽路由器后面网络上的主机称为屏蔽主机，该防火墙的体系结构防火墙的体系结构内部网内部网外部网外部网p筛选路由器式体系结构筛选路由器式体系结构 包过滤包过滤筛选路由器筛选路由器25防火墙的体系结构内部网外部网筛选路由器式体系结构 包过滤筛选p双网主机式体系结构双网主机式体系结构 这这种种体体系系结结构构有有一一主主机机专专门门被被用用作作内内部部网网和和外外部部网网的的分分界界线线。该该主主机机里里插插有有两两块块网网卡卡，分分别别连连接接到到两两个个网网络络。防防火火墙墙里里面

28、面的的系系统统可可以以与与这这台台双双网网主主机机进进行行通通信信，防防火火墙墙外外面面的的系系统统(Internet上上的的系系统统)也也可可以以与与这这台台双双网网主主机机进进行行通通信信，但但防防火火墙墙两两边边的的系系统统之之间间不不能能直直接接进进行行通通信信。另另外外，使使用用此此结结构构，必必须须关关闭闭双双网网主主机机上上的的路路由由分分配配功功能能，这这样样就就不不会会通通过软件把两个网络连接在一起了。过软件把两个网络连接在一起了。图6 双网主机式体系结构内部网内部网外部网外部网双网主机双网主机26双网主机式体系结构 这种体系结构有一屏蔽主机式体系结构屏蔽主机式体系结构 此此

29、类类型型的的防防火火墙墙强强迫迫所所有有的的外外部部主主机机与与一一个个堡堡垒垒主主机机相相连连接接，而而不不让让它它们们直直接接与与内内部部主主机机相相连连。下下图图中中的的屏屏蔽蔽路路由由器实现了把所有外部到内部的连接都路由到了堡垒主机上。器实现了把所有外部到内部的连接都路由到了堡垒主机上。堡堡垒垒主主机机位位于于内内部部网网络络，屏屏蔽蔽路路由由器器联联接接Internet和和内内部部网络，构成防火墙的第一道防线。网络，构成防火墙的第一道防线。（参见下页图（参见下页图7）图7 屏蔽主机式体系结构27屏蔽主机式体系结构图7 屏蔽主机式体系结构27防火墙的体系结构防火墙的体系结构屏蔽主机式体

30、系结构屏蔽主机式体系结构Internet堡垒主机防火墙屏蔽路由器28防火墙的体系结构屏蔽主机式体系结构Internet堡垒主机防 屏屏蔽蔽路路由由器器必必须须进进行行适适当当的的配配置置，使使所所有有外外部部到到内内部部的的连连接都路由到了堡垒主机上，并且实现外部到内部的主动连接。接都路由到了堡垒主机上，并且实现外部到内部的主动连接。此此类类型型防防火火墙墙的的安安全全级级别别较较高高，因因为为它它实实现现了了网网络络层层安安全全(屏屏蔽蔽路路由由器器包包过过滤滤)和和应应用用层层安安全全(堡堡垒垒主主机机代代理理服服务务)。入入侵侵者者在在破破坏坏内内部部网网络络的的安安全全性性之之前前，必

31、必须须首首先先渗渗透透两两种不同的安全系统。种不同的安全系统。即即使使入入侵侵了了内内部部网网络络，也也必必须须和和堡堡垒垒主主机机相相竞竞争争，而而堡堡垒垒主主机机是是安安全全性性很很高高的的机机器器，主主机机上上没没有有任任何何入入侵侵者者可可以以利利用用的的工具，不能作为黑客进一步入侵的基地。工具，不能作为黑客进一步入侵的基地。此此类类型型防防火火墙墙中中屏屏蔽蔽路路由由器器的的配配置置十十分分重重要要，如如果果路路由由表表遭遭到到破破坏坏，则则数数据据包包不不会会路路由由到到堡堡垒垒主主机机上上，使使堡堡垒垒主主机机被被越越过。过。29 屏蔽路由器必须进行适当的配置，使所p屏蔽子网屏蔽

32、子网(ScreenedSubNet)式体系结构式体系结构 这这种种体体系系结结构构本本质质上上与与屏屏蔽蔽主主机机体体系系结结构构一一样样，但但是是增增加加了了一一层层保保护护体体系系周周边边网网络络，而而堡堡垒垒主主机机位位于于周周边边网网络络上，周边网络和内部网络被内部屏蔽路由器分开。上，周边网络和内部网络被内部屏蔽路由器分开。由由前前可可知知，当当堡堡垒垒主主机机被被人人侵侵之之后后，整整个个内内部部网网络络就就处处于于危危险险之之中中，堡堡垒垒主主机机是是最最易易受受侵侵袭袭的的，虽虽然然其其很很坚坚固固，不不易易被被入入侵侵者者控控制制，但但万万一一被被控控制制，仍仍有有可可能能侵侵

33、袭袭内内部部网网络络。如如果果采采用用了了屏屏蔽蔽子子网网(ScreenedSubNet)式式体体系系结结构构，入入侵侵者者将将不不能能直直接接侵侵袭袭内内部部网网络络，因因为为内内部部网网络络受受到到了了内内部部屏屏蔽蔽路路由器的保护。由器的保护。屏蔽子网式体系结构如下图所示。屏蔽子网式体系结构如下图所示。图8 屏蔽子网式体系结构30屏蔽子网(ScreenedSubNet)式体系结构 防火墙的体系结构防火墙的体系结构屏蔽子网式体系结构屏蔽子网式体系结构Internet堡垒主机屏蔽路由器屏蔽路由器周边网络31防火墙的体系结构屏蔽子网式体系结构Internet堡垒主机屏5.6 防火墙的构筑原则防

34、火墙的构筑原则构筑防火墙主要从以下几个方面考虑：构筑防火墙主要从以下几个方面考虑：l 体系结构的设计；体系结构的设计；l 安全策略的制订；安全策略的制订；l 安全策略的实施。安全策略的实施。325.6 防火墙的构筑原则构筑防火墙主要从以下几个方面考虑：5.7防火墙产品防火墙产品Juniper公司的公司的Netscreen防火墙产品防火墙产品 Netscreen防防火火墙墙可可以以说说是是硬硬件件防防火火墙墙领领域域内内的的领领导导者者。2004年年2月月，Netscreen被被网网络络设设备备巨巨头头Juniper收收购购，成成为为Juniper的的安安全全产产品品部部，两两家家公公司司合合并

35、并后后将将与与Cisco展展开开激激烈烈的的竟竟争争。Netscreen的的产产品品完完全全基基于于硬硬件件ASIC芯芯片片，它它就就像像个盒子一样安装使用起来很简单。个盒子一样安装使用起来很简单。产产品品系系列列：Netscreen5000产产品品系系列列是是定定制制化化、高高性性能能的的安安全全系系统统，适适用用于于高高端端用用户户。Netscreen-500集集防防火火墙墙、VPN及及流流量量管管理理等等功功能能于于一一体体，是是一一款款高高性性能能的的产产品品，支支持持多多个个安安全全域域，适适用用于于中中高高端端用用户户。其其中中端端产产品品主主要要有有：Netscreen204、N

36、etscreen208。335.7防火墙产品Juniper公司的Netscreen防火墙低端产品有：低端产品有：NetScreen50、Netscreen25。NetscreenGlobalSecurityManagement(集集群群防防火火墙墙集集中中管管理理软软件件)提提供供了了服服务务提提供供商商和和企企业业所所需需要要的的用用来来管管理理所所有有Netscreen产产品品的的特特性性。与与防防毒毒领领袖袖厂厂商商TrendMicro合合作作推推出出的的Netscreen-5GT集集成成防防火火墙墙/VPN/DoS保保护护功功能能并并提提供供了了内内置置的的病病毒毒扫扫描描功能。功能。

37、主要特色：主要特色：34低端产品有：34 a.专专用用的的网网络络安安全全整整合合式式设设备备：高高性性能能安安全全产产品品，集集成成防火墙、防火墙、VPN和流量管理功能，性能优越。和流量管理功能，性能优越。b.产产品品线线完完整整，能能满满足足各各大大小小商商业业需需求求：适适用用于于包包括括宽宽带带接接入入的的移移动动用用户户，小小型型、中中型型或或大大型型企企业业，高高流流量量的的电电子子商务网站，以及其他网络安全的环境。商务网站，以及其他网络安全的环境。c.安安装装和和管管理理：通通过过使使用用内内置置的的WebUI界界面面、命命令令行行界界面面和和Netscreen中中央央管管理理方

38、方案案，在在几几分分钟钟内内完完成成安安装装和和管管理理，并且可以快速实施到数千台设备上。并且可以快速实施到数千台设备上。d.通通用用性性：所所有有设设备备都都提提供供相相同同核核心心功功能能和和管管理理界界面面，便于管理和操作。便于管理和操作。35 a.专用的网络安全整合式设备：高性p CyberwallPlus系列防火墙系列防火墙 CyberwallPlus系系列列防防火火墙墙是是由由网网屹屹(Network1)公公司司开开发，是基于软件的防火墙。发，是基于软件的防火墙。Cyberwallplus家家族族由由四四种种系系列列防防火火墙墙产产品品和和中中心心的的管管理理器器组组成成，提提供供

39、全全方方位位的的保保护护。它它们们分分别别是是CyberwallPLUSSV保保护护服服务务器器防防火火墙墙；CyberwallPLUSWS保保护护工工作作站站防防火火墙墙；CyberwallPLUS-IP边边界界防防火火墙墙；CyberwallPLUSAP多协议防火墙及多协议防火墙及CyberwallPLUSCM集中管理产品。集中管理产品。36 CyberwallPlus系列防火墙 a.CyberwallPLUS-SV和和CyberwallPLUSWS是是为为分分别别保保护护与与互互联联网网或或企企业业网网相相连连的的Windows服服务务器器和和工工作作站站而而设设计计的的，它它以以先先进

40、进的的信信息息包包过过滤滤技技术术为为基基础础，提提供供周周密密的的网网络络访访问问控控制制、优优化化主主机机入入侵侵检检测测、防防止止入入侵侵算算法法和和详详细细的的流流量量审审核核日日志志。CyberwallPlusAP是是高高速速的的局局域域网网防防火火墙墙，是是为满足不断增长的内部网络安全需要而设计的。为满足不断增长的内部网络安全需要而设计的。37 a.CyberwallPLUS-b.CyberwallPlus-AP运运 行行 在在 装装 有有 两两 个个 以以 太太 网网 卡卡WindowsNT/2000的的系系统统上上，帮帮助助用用户户的的计计算算机机网网络络抵抵御御恶恶意意的的网

41、网络络访访问问和和入入侵侵。CyberwallPlus-AP是是一一个个有有两两个个端端口口的的系系统统，以以透透明明的的网网桥桥模模式式工工作作，而而不不像像大大多多数数防防火火墙墙是是路路由由 模模 式式，能能 够够 接接 受受、过过 滤滤 4500余余 种种 IP和和 非非 IP协协 议议。CyberwallPinsAP设设计计简简单单、有有效效，应应用用时时不不需需要要破破坏坏现现有有的的网网络络地地址址或或重重新新配配置置网网络络，甚甚至至可可以以放放在在同同一一IP子子网网的的节点之间。节点之间。38 b.CyberwallPlus c.CyberwallPlusIP是是保保护护专

42、专有有网网络络抵抵御御攻攻击击和和入入侵侵的的互互联联网网防防火火墙墙，位位于于网网络络的的周周边边，保保护护进进出出公公共共互互联联网网流流量量的的安安全全，是是一一个个高高经经济济效效益益的的网网络络安安全全解解决决方方案案，提提供供多多层层次次的的包包过过滤滤检检测测，阻阻止止未未授授权权的的网网络络访访问问。CyberwallPlusIP作作为为先先进进的的防防火火墙墙解解决决方方案案系系列列的的一一员员，为为用用户户提提供供强强有有力力的的安安全全保保护护功功能能，它它具具备备高高度度的的灵灵活活性性、可可伸伸缩缩性性，可可以以很好地适应用户对未来安全需求的变化。很好地适应用户对未来

43、安全需求的变化。39 c.CyberwallPlusp CheckPoint防火墙防火墙 作作为为CheckPoint软软件件技技术术有有限限公公司司网网络络安安全全性性产产品品线线中中最最为为重重要要的的产产品品。CheckPointTMFireWall-1是是业业界界领领先先的的企企业业级级安安全全性性套套件件，它它集集成成了了访访问问控控制制、认认证证、加加密密、网网络络地地址翻译、内容安全性和日志审核等特性。址翻译、内容安全性和日志审核等特性。a.FireWall-1通通过过分分布布式式的的客客户户机机/服服务务器器结结构构管管理理安安全全策略，保证高性能、高伸缩性和集中控制。策略，保

44、证高性能、高伸缩性和集中控制。b.FireWalll由由基基本本模模块块(防防火火墙墙模模块块、状状态态检检测测模模块块和和管管理理模模块块)和和一一些些可可选选模模块块组组成成。这这些些模模块块可可以以通通过过不不同同数数量量、平台的组合配置成灵活的客户机平台的组合配置成灵活的客户机/服务器结构。服务器结构。40 CheckPoint防火墙 作为 c.FireWallc.FireWall 1 1采采 用用 CheckPoint公公 司司 的的 状状 态态 检检 测测(StatefulInspection)专专利利技技术术，以以不不同同的的服服务务区区分分应应用用类类型，为网络提供高安全、高性

45、能和高扩展性保证。型，为网络提供高安全、高性能和高扩展性保证。d.Firewalld.Firewall1 1状状态态检检测测模模块块分分析析所所有有的的包包通通信信层层，汲汲取取相相关关的的通通信信和和应应用用程程序序的的状状态态信信息息。状状态态检检测测模模块块能能够够理理解并学习各种协议和应用，以支持各种最新的应用。解并学习各种协议和应用，以支持各种最新的应用。e.Firewalle.Firewall1 1可可以以在在不不修修改改本本地地服服务务器器或或客客户户应应用用程程序序的的情情况况下下，对对试试图图访访问问内内部部服服务务器器的的用用户户进进行行身身份份认认证证。FireWall-

46、1的的认认证证服服务务集集成成在在其其安安全全策策略略中中，通通过过图图形形用用户户界界面集中管理，通过日志管理器监视、跟踪认证会话。面集中管理，通过日志管理器监视、跟踪认证会话。41 c.FireWall1采用CheckPoin思科安全思科安全PIX防火墙防火墙 CiscoSecurePIX防防火火墙墙基基于于包包过过滤滤和和应应用用代代理理两两种种主主流流防防火火墙墙技技术术的的基基础础上上，提提供供空空前前的的安安全全保保护护能能力力，它它的的保保护护机机制制的的核核心心是是能能够够提提供供面面向向静静态态连连接接防防火火墙墙功功能能的的自自适适应应安安全全算算法法(ASA)。ASA自自

47、适适应应安安全全算算法法与与包包过过滤滤相相比比，功功能能更更加加强强劲劲；另另外外，ASA与与应应用用层层代代理理防防火火墙墙相相比比，其其性性能能更更高高，扩扩展展性性更更强强。ASA可可以以跟跟踪踪源源和和目目的的地地址址、传传输输控控制制协协议议(TCP)序序列列号号、端端口口号号和和每每个个数数据据包包的的附附加加TCP标标志志。只只有有存存在在已已确确定定连连接接关关系系的的正正确确的的连连接接时时，访访问问才才被被允允许许通通过过PLX防防火火墙墙。这这样样，内内部部和和外外部部的的授授权权用用户户就就可可以以透透明明地地访访问问企企业业资资源源，同同时时保保护护内内部部网网络络

48、不不会会受受到到非非授授权权访访问问的的侵侵袭袭。关于关于ASA算法详情请访问算法详情请访问http:/42思科安全PIX防火墙42 以以PIXFirewall515为为例例，思思科科防防火火墙墙具具有有以以下下一一些些关关键键特特性：性：a.非常高的性能。非常高的性能。b.实时嵌入式操作系统。实时嵌入式操作系统。c.位位于于企企业业网网络络和和ienet访访问问路路由由器器之之间间，并并包包括括以以太太网网、快速以太网、令牌环网或快速以太网、令牌环网或FDDILAN连接选项。连接选项。d.保保护护模模式式基基于于自自适适应应安安全全算算法法(ASA)，可可以以确确保保最最高高的的安安全性。全

49、性。43 以PIXFirewall515为例，思科防火 e.用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。f.URL过滤。过滤。g.HPOpenView集成。集成。h.用于配置和管理的图形用户界面。用于配置和管理的图形用户界面。i.通过电子邮件和寻呼机提供报警和告警通知。通过电子邮件和寻呼机提供报警和告警通知。j.通过专用链路加密卡提供通过专用链路加密卡提供VPN支持。支持。k.符符合合委委托托技技术术评评估估计计划划(TTAR)，通通过过美美国国安安全全事事务务处处(NSA)的认证。的认证。44 e.用于验证和授权的“直通代理”技术。44p 天融信公司的网络卫土天融信公司的

50、网络卫土 网网络络卫卫士士是是我我国国第第一一套套自自主主知知识识产产权权的的防防火火墙墙系系统统，是是一一种种基基于于硬硬件件的的防防火火墙墙，目目前前有有NGFW3000、NGFW4000、NGFW4000UF、NGFWARES几款产品。几款产品。网网络络卫卫士士防防火火墙墙由由多多个个模模块块组组成成，包包括括包包过过滤滤、应应用用代代理理、NAT、VPN、防防攻攻击击等等功功能能模模块块，各各模模块块可可分分离离、裁裁剪剪和和升升级级，以以满满足足不不同同用用户户的的需需求求。管管理理器器的的硬硬件件平平台台为为能能运运行行Netscape4.0浏浏览览器器的的Intel兼兼容容微微机

51、机，软软件件平平台台采采用用Win9x操作系统。操作系统。主主要要特特色色：采采用用了了领领先先一一步步的的SSN(安安全全服服务务器器网网络络)技技术术，安安全全性性高高于于其其他他防防火火墙墙普普遍遍采采用用的的DMZ(非非军军事事区区)技技术术。SSN与与外外部部网网之之间间有有防防火火墙墙保保护护，与与内内部部网网之之间间也也有有防防火火墙墙保保护护，一一旦旦SSN受受到到破破坏坏，内内部部网网络络仍仍会会处处于于防防火火墙墙的的保保护护之下。之下。45 天融信公司的网络卫土 网络卫士是我 网网络络卫卫士士防防火火墙墙系系统统集集中中了了包包过过滤滤防防火火墙墙、应应用用代代理理、网网

52、络络地地址址转转换换(NAT)、用用户户身身份份鉴鉴别别、虚虚拟拟专专用用网网、Web页页面面保保护护、用用户户权权限限控控制制、安安全全审审计计、攻攻击击检检测测、流流量量控控制制与与计计费费等等功功能能，可可以以为为不不同同类类型型的的Internet接接入入网网络络提提供供全全方方位位的的网网络络安安全全服服务务。该该系系统统在在增增强强传传统统防防火火墙墙安安全全性性的的同同时时，还还通通过过VPN架架构构，为为企企业业网网提提供供一一整整套套从从网网络络层层到到应应用用层层的的安安全全解解决决方方案案，包包括括访访问问控控制制、身身份份验验证证、授授权权控控制制、数数据据加加密、数据

53、完整性等安全服务。密、数据完整性等安全服务。46 网络卫士防火墙系统集中了包过滤防火p 清华紫光网联科技的清华紫光网联科技的UF3100/UF3500防火墙防火墙UF3100/UF3500是是一一种种基基于于硬硬件件的的防防火火墙墙，兼兼具具防防火火墙墙和和流流量量控控制制等等功功能能，无无丢丢包包数数据据通通过过率率达达50Mbps，可可以以支支持持T3线线路路甚甚至至局局域域网网间间的的流流量量要要求求。UF3100/UF3500结结构构紧紧凑凑(设设计计高高度度仅仅1U)，可可放放置置在在桌桌面面或或安安装装在在标标准准机机架架上上，是是为为机机关关或或企业网内的数据提供最安全保护的硬件

54、产品之一。企业网内的数据提供最安全保护的硬件产品之一。主要特色：主要特色：47 清华紫光网联科技的UF3100/UF3500防火墙UF31 a.防防火火墙墙系系统统采采用用汇汇编编语语言言编编写写网网络络层层IP包包处处理理的的操操作作，充充分分发发挥挥了了CPU的的能能力力。UF3100防防火火墙墙自自身身具具有有很很高高的的安安全全性性，完完全全消消除除了了Y2K问问题题，保保护护内内部部网网络络，并并形形成成一一个个完完整整的的安安全全系系统统。UF3100提提供供了了一一个个附附加加的的功功能能，即即采采用用VPN技技术术使使得得远远程程用用户户能能通通过过互互联联网网安安全全访访问问

55、内内部部网网络络。UF3100将将整整个个网网络络分分成成外外部部网网、DMZ隔隔离离区区、内内部部网网三三层层结结构构，大大大大增增强强了了网网络络的抗攻击性能。硬件外形采用标准的的抗攻击性能。硬件外形采用标准的19英寸的结构，便于安装。英寸的结构，便于安装。b.UF3500防防火火墙墙是是为为ISP等等大大型型机机构构设设计计使使用用的的，数数据据通通过过率率为为70MbpS，还还通通过过专专门门的的FPGA实实现现了了QOS，保保证证了了视视频频、音音频频等等实实时时应应用用程程序序的的运运行行。UF3500还还提提供供了了硬硬件件选选项项支支持未来功能的增加，如保证更高加密强度的加密模

56、块等。持未来功能的增加，如保证更高加密强度的加密模块等。48 a.防火墙系统采用汇编语言编写网p 网眼防火墙网眼防火墙NetEye NetEye是是一一种种软软件件防防火火墙墙产产品品，目目前前最最新新的的版版本本是是NetEye2.0版版本本。网网眼眼防防火火墙墙NetEye2.0集集网网络络数数据据的的监监控控和和管管理理于于一一体体，可可以以随随时时对对网网络络数数据据的的流流动动情情况况进进行行分分析析、监监控控和和管管理理，以以便便及及时时制制订订保保护护内内部部网网络络数数据据的的相相应应措措施施。该该系系统统具具有有可可靠靠性性高高、不不易易遭遭到到攻攻击击破破坏坏等等特特点点。

57、网网眼眼防防火火墙墙NetEye2.0系系统统的的管管理理主主机机和和监监控控主主机机建建立立在在一一种种独独立立安安全全的的局局域域网网络络之之内内，而而且且通通信信数数据据经经过过了了加加密密处处理理，提提高高了了系系统统的安全性。的安全性。49 网眼防火墙NetEye NetEy 主主要要特特色色：可可以以工工作作在在交交换换和和路路由由两两种种模模式式下下，当当防防火火墙墙工工作作在在交交换换模模式式时时，内内网网、DMZ区区和和路路由由器器的的内内部部端端口口构构成成一一个个统统一一的的交交换换式式物物理理子子网网，内内网网和和DMZ区区还还可可以以有有自自己己的的第第二二级级路路由

58、由器器，这这种种模模式式不不需需要要改改变变原原有有的的网网络络拓拓扑扑结结构构和和各各主主机机和和设设备备的的网网络络设设置置；当当防防火火墙墙工工作作在在路路由由模模式式时时，可可以以作作为为三三个个区区之之间间的的路路由由器器，同同时时提提供供内内网网到到外外网网、DMZ到到外外网网的的网网络络地地址址转转换换；也也就就是是说说，内内网网和和DMZ都都可可以以使使用用保保留留地地址址，内内网网用用户户通通过过地地址址转转换换访访问问Internet，同同时时隔隔绝绝Internet对对内内网网的的访访问问，DMZ区区通通过过反反向向地地址址转转换换对对Internet提提供供服服务务。用

59、用户户可可以以根根据据自自己己的的网网络络情情况况和和实实际际的的安安全全需需要要来配置来配置NetEye防火墙的工作模式。防火墙的工作模式。50 主要特色：可以工作在交换和路由两种模p 东方龙马防火墙东方龙马防火墙 东东方方龙龙马马公公司司在在代代理理国国外外著著名名网网络络安安全全产产品品的的同同时时推推出出了了自自己己的的防防火火墙墙产产品品OLM防防火火墙墙，它它是是一一种种硬硬件件防防火火墙墙。综综合合运运用用了了强强大大的的信信息息分分析析功功能能、高高效效包包过过滤滤功功能能、多多种种反反电电子子欺欺骗骗手手段段、多多种种安安全全措措施施。它它根根据据系系统统管管理理者者设设定定

60、的的安安全全规规则则保保护护内内部部网网络络，同同时时提提供供强强大大的的访访问问控控制制、网网络络地地址址转转换换、透透明明的的代代理理服服务务、信信息息过过滤滤、流流量量控控制制等等功功能能。提提供供完完善的安全性设置，通过高性能的网络核心进行访问控制。善的安全性设置，通过高性能的网络核心进行访问控制。主要特色：主要特色：51 东方龙马防火墙 东方龙马公司在代理 a.OLM防防火火墙墙提提供供了了“内内部部网网到到外外部部网网”、“外外部部网网到到内内部部网网”的的双双向向NAT功功能能，同同时时支支持持两两种种方方式式的的网网络络地地址址转转换换。一一种种为为静静态态地地址址映映射射，即

61、即外外部部地地址址和和内内部部地地址址一一对对一一的的映映射射，使使内内部部地地址址的的主主机机既既可可以以访访问问外外部部网网络络，也也可可以以接接受受外外部部网网络络提供的服务。提供的服务。b.另另一一种种是是更更灵灵活活的的方方式式，可可以以支支持持多多对对一一的的映映射射，即即内内部部的的多多台台机机器器可可以以通通过过一一个个外外部部有有效效地地址址访访问问外外部部网网络络。让让多多个个内内部部IP地地址址共共享享一一个个外外部部IP地地址址，就就必必须须转转换换端端口口地地址址，这这样样，内内部部不不同同IP地地址址的的数数据据包包就就能能转转换换为为同同一一个个IP地地址址而而端

62、端口口地地址址不不同同，通通过过这这些些端端口口对对外外部部提提供供服服务务。这这种种NAT转转换换可可以以更有效地利用更有效地利用IP地址资源，并且提供更好的安全性。地址资源，并且提供更好的安全性。52 a.OLM防火墙提供了“内部网到外部p中科网威中科网威“长城长城”防火墙防火墙(NetpowerFirewall)“长长城城”防防火火墙墙是是一一种种基基于于软软件件的的防防火火墙墙，它它拥拥有有独独特特的的系系统统体体系系结结构构设设计计，能能把把高高速速的的运运行行能能力力、强强有有力力的的安安全全性性能能和和简简单单易易用用、方方便便操操作作等等特特点点有有机机地地结结合合在在一一起起

63、，为为企企业业的重要数据和内部网络系统提供了一层可靠的安全保障。的重要数据和内部网络系统提供了一层可靠的安全保障。“长长城城”防防火火墙墙能能提提供供内内容容控控制制、日日志志管管理理、入入侵侵探探测测、远远程程管管理理等等多多种种功功能能，其其采采用用专专用用的的系系统统平平台台，保保证证了了自自身身体体系系结结构构的的可可靠靠性性，消消除除了了软软件件类类防防火火墙墙由由于于操操作作系系统统平平台台本本身身引引起起的的安安全全问问题题，而而且且“长长城城”防防火火墙墙无无用用户户数数限限制制，使得大型机构能充分享受到价格的优惠。使得大型机构能充分享受到价格的优惠。主要特色：主要特色：53中

64、科网威“长城”防火墙(NetpowerFirewall)a.提供基于时间、基于地址的存取控制模式。提供基于时间、基于地址的存取控制模式。b.检检测测SYN攻攻击击、检检测测TearDrop攻攻击击、检检测测PingofDeath攻攻击击、检检测测IPSpoofing攻攻击击、默默认认数数据据包包拒拒绝绝、过过滤滤源源路路由由IP、动态过滤访问。、动态过滤访问。C.提供提供telnet、ftp、http)等常用协议的支持。等常用协议的支持。d.提供可视化、可听化、系统日志等告警方式。提供可视化、可听化、系统日志等告警方式。e.提供标记、口令等身份认证方式。提供标记、口令等身份认证方式。f.提供图表式配置管理功能。提供图表式配置管理功能。防火墙的最新资料，请登录相关厂商的网站进行查阅。防火墙的最新资料，请登录相关厂商的网站进行查阅。54 a.提供基于时间、基于地址的存取控制第第5章结束！章结束！55第5章结束！55