1、信息安全原理與技術(shù)2022/8/211Ch9-防火墻第9章 防火墻主要知識(shí)點(diǎn)： - 防火墻概述 - 防火墻技術(shù) - 防火墻的體系結(jié)構(gòu) 2022/8/212Ch9-防火墻9.1 防火墻概述為了保護(hù)計(jì)算機(jī)通信的安全，人們需要開(kāi)發(fā)一種能阻止計(jì)算機(jī)之間直接通信的技術(shù)。防火墻的基本功能 對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問(wèn)進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，即對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制。 防火墻位于內(nèi)部可信任的網(wǎng)絡(luò)和外部不可信任的網(wǎng)絡(luò)，對(duì)跨越防火墻的數(shù)據(jù)流進(jìn)行監(jiān)測(cè)和限制。向外部屏蔽內(nèi)部可信任的網(wǎng)絡(luò)的信息、拓?fù)浣Y(jié)構(gòu)和運(yùn)行狀況，實(shí)現(xiàn)對(duì)內(nèi)部可信任的網(wǎng)絡(luò)的保護(hù)。2022/8/213Ch9-防火墻防火墻的來(lái)源 “防火墻”一詞源自于早期建

2、筑。在古代，構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候?yàn)榉乐够馂?zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物就被稱為“防火墻”（FireWall）。如今在計(jì)算機(jī)網(wǎng)絡(luò)中，沿用了古代這個(gè)名字來(lái)表示實(shí)現(xiàn)類似的網(wǎng)絡(luò)安全功能。 9.1.1 防火墻的基本概念 2022/8/214Ch9-防火墻 所謂“防火墻”，指的就是一種被放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過(guò)它的判斷處理后，才會(huì)決定能不能把這些數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會(huì)攔截下來(lái)，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。 防火墻可以在主機(jī)或路由器上設(shè)置，允許可信的數(shù)據(jù)通過(guò)，拒絕惡意訪問(wèn)，保護(hù)內(nèi)部的網(wǎng)絡(luò)

3、免受外部的惡意攻擊。 防火墻的定義2022/8/215Ch9-防火墻圖9.1防火墻示意圖 2022/8/216Ch9-防火墻防火墻的兩條基本規(guī)則 一切未被允許的就是禁止的。 基于該規(guī)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放，即只允許符合開(kāi)放規(guī)則的信息進(jìn)出。這種方法非常實(shí)用，可以造成一種十分安全的環(huán)境，因?yàn)樗苁褂玫姆?wù)范圍受到了嚴(yán)格的限制，只有特定的被選中的服務(wù)才被允許使用。但這就使得用戶使用的方便性受到了影響。 一切未被禁止的就是允許的。 基于該規(guī)則，防火墻逐項(xiàng)屏蔽被禁止的服務(wù)，而轉(zhuǎn)發(fā)所有其它信息流。這種方法可以提供一種更為靈活的應(yīng)用環(huán)境，可為用戶提供更多的服務(wù)。但卻很難提供

4、可靠的安全防護(hù)，特別是當(dāng)網(wǎng)絡(luò)服務(wù)日益增多或受保護(hù)的網(wǎng)絡(luò)范圍增大時(shí)。 2022/8/217Ch9-防火墻典型的防火墻具有的基本特性 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。 只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。 防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。 2022/8/218Ch9-防火墻9.1.2 防火墻的作用及局限性 防火墻的作用集中的安全管理安全警報(bào)重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT)審計(jì)和記錄網(wǎng)絡(luò)的訪問(wèn)及使用情況 向外發(fā)布信息 2022/8/219Ch9-防火墻1.集中的安全管理防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心來(lái)防止非法用戶進(jìn)入網(wǎng)絡(luò)，禁止不安全的因素進(jìn)出網(wǎng)絡(luò)，并抗擊外部攻擊。防

5、火墻定義的安全規(guī)則適用于整個(gè)內(nèi)部網(wǎng)絡(luò)，無(wú)需為每臺(tái)內(nèi)部主機(jī)配置安全策略，可以簡(jiǎn)化網(wǎng)絡(luò)安全管理，提高網(wǎng)絡(luò)的安全性。2022/8/2110Ch9-防火墻2.安全警報(bào)防火墻監(jiān)視網(wǎng)絡(luò)通信并產(chǎn)生報(bào)警信號(hào)。3.重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT)防火墻使用NAT技術(shù)完成內(nèi)部私有IP地址到外部注冊(cè)IP地址的轉(zhuǎn)換，可以節(jié)約IP地址空間。2022/8/2111Ch9-防火墻4.審計(jì)和記錄網(wǎng)絡(luò)的訪問(wèn)及使用情況 由于所有的網(wǎng)絡(luò)訪問(wèn)都經(jīng)過(guò)防火墻，防火墻是審計(jì)和記錄網(wǎng)絡(luò)訪問(wèn)和使用情況的最佳地點(diǎn)。5.向外發(fā)布信息 防火墻既可以形成內(nèi)部安全屏障，也可以部署WWW服務(wù)器，提供對(duì)外訪問(wèn)。2022/8/2112Ch9-防火墻防火墻的局限

6、性防火墻不能防范不經(jīng)由防火墻的攻擊和威脅 不能防御已經(jīng)授權(quán)的訪問(wèn)，以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊，不能防御合法用戶惡意的攻擊以及社交攻擊等非預(yù)期的威脅 防火墻不能防止感染了病毒的軟件或文件的傳輸 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊,表面無(wú)害的數(shù)據(jù)被驅(qū)動(dòng)發(fā)起攻擊。 不能修復(fù)脆弱的管理措施和存在問(wèn)題的安全策略 2022/8/2113Ch9-防火墻9.1.3 防火墻的分類 根據(jù)物理特性分類 軟件防火墻：運(yùn)行在系統(tǒng)網(wǎng)絡(luò)接口設(shè)備與系統(tǒng)網(wǎng)絡(luò)驅(qū)動(dòng)程序接口之間。會(huì)占用系統(tǒng)資源。硬件防火墻：專用的硬件平臺(tái)和相關(guān)的軟件。 從結(jié)構(gòu)上分類 單一主機(jī)防火墻：基于單獨(dú)的硬件設(shè)備的防火墻。路由集成式防火墻：將防火墻的功能嵌入路由

7、器。分布式防火墻：防火墻不僅位于網(wǎng)絡(luò)邊界，在網(wǎng)絡(luò)的每臺(tái)主機(jī)都可以部署。2022/8/2114Ch9-防火墻按工作位置分類 邊界防火墻個(gè)人防火墻混合防火墻按防火墻性能分類 百兆級(jí)防火墻千兆級(jí)防火墻 從實(shí)現(xiàn)技術(shù)上分類 數(shù)據(jù)包過(guò)濾技術(shù)代理服務(wù) 2022/8/2115Ch9-防火墻數(shù)據(jù)包過(guò)濾在網(wǎng)絡(luò)層，根據(jù)IP的首部信息制定的過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行選擇。通常結(jié)合路由器實(shí)現(xiàn)，但不對(duì)數(shù)據(jù)進(jìn)行核查，過(guò)濾規(guī)則較復(fù)雜，不易配置包過(guò)濾規(guī)則。代理服務(wù)工作在應(yīng)用層，介于外部的客戶與內(nèi)部的服務(wù)器之間。對(duì)外部客戶發(fā)起的服務(wù)請(qǐng)求和內(nèi)部的服務(wù)器返回的應(yīng)答信息進(jìn)行檢查。每一種應(yīng)用服務(wù)根據(jù)需要贏設(shè)置安全代理。2022/8/2116C

8、h9-防火墻9.2 防火墻技術(shù) 數(shù)據(jù)包過(guò)濾技術(shù)靜態(tài)包過(guò)濾動(dòng)態(tài)包過(guò)濾 代理服務(wù)應(yīng)用級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān) 2022/8/2117Ch9-防火墻9.2.1 數(shù)據(jù)包過(guò)濾 Internet包過(guò)濾路由器工作站服務(wù)器內(nèi)部網(wǎng)絡(luò)工作站工作站2022/8/2118Ch9-防火墻數(shù)據(jù)包過(guò)濾用設(shè)置了過(guò)濾規(guī)則的路由器來(lái)實(shí)現(xiàn)。路由器收到一個(gè)數(shù)據(jù)包，從包的首部提取信息，例如IP地址、端口號(hào)和協(xié)議號(hào)等，再根據(jù)過(guò)濾規(guī)則決定是否通過(guò)該數(shù)據(jù)包。靜態(tài)包過(guò)濾根據(jù)事先定義好的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。動(dòng)態(tài)包過(guò)濾采用包狀態(tài)監(jiān)測(cè)技術(shù)，對(duì)每一個(gè)建立的連接進(jìn)行跟蹤，根據(jù)需要?jiǎng)討B(tài)地更新過(guò)濾規(guī)則。2022/8/2119Ch9-防火墻9.2.2 應(yīng)用級(jí)網(wǎng)關(guān)（

9、代理服務(wù)器） 應(yīng)用級(jí)網(wǎng)關(guān)（代理服務(wù)器） 應(yīng)用級(jí)網(wǎng)關(guān)提供兩個(gè)網(wǎng)絡(luò)間傳輸?shù)母咚降目刂?，即能?duì)特定應(yīng)用服務(wù)內(nèi)容進(jìn)行監(jiān)控和提供基于網(wǎng)絡(luò)安全策略的過(guò)濾。 服務(wù)器代理客戶代理客戶代理服務(wù)器代理應(yīng)用級(jí)網(wǎng)關(guān)服務(wù)器客戶機(jī)客戶機(jī)服務(wù)器安全網(wǎng)絡(luò)不安全網(wǎng)絡(luò)2022/8/2120Ch9-防火墻例：FTP代理服務(wù)器 FTP代理FTP客戶FTP服務(wù)器FTP代理規(guī)則安全數(shù)據(jù)庫(kù)TCP/UDPIP/ICMPInterfacesIP過(guò)濾規(guī)則端口2021不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)2022/8/2121Ch9-防火墻9.2.3 電路級(jí)網(wǎng)關(guān) 電路級(jí)網(wǎng)關(guān)是一個(gè)通用代理服務(wù)器，工作在TCP/IP協(xié)議的TCP層，僅僅提供TCP連接的轉(zhuǎn)發(fā)而不提供任何其它的報(bào)文處理和過(guò)濾。 客戶服務(wù)器TCP層IP層Interfaces不安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)2022/8/2122Ch9-防火墻9.3 防火墻的體系結(jié)構(gòu) 雙宿主機(jī)防火墻結(jié)構(gòu)屏蔽主機(jī)防火墻結(jié)構(gòu)屏蔽子網(wǎng)防火墻結(jié)構(gòu)2022/8/2123Ch9-防火墻9.3.1 雙宿主機(jī)防火墻 Internet堡壘主機(jī)工作站服務(wù)器內(nèi)部網(wǎng)絡(luò)工作站工作站2022/8/212