第8章防火墙技术 本章主要介绍: 1.防火墙基本概念 2.防火墙的基本功能 3.防火墙的体系结构 4.包过滤 5代理服务 6.堡垒主机以及防火墙的选购原则 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 第8章 防火墙技术 本章主要介绍: 1. 防火墙基本概念 2. 防火墙的基本功能 3. 防火墙的体系结构 4. 包过滤 5. 代理服务 6. 堡垒主机以及防火墙的选购原则
81防火墙基本概念 8.1.1因特网防火墙 1.防火墙的基本知认 防火墙是在两个网络之间执行访问控制策略的一个 或一组系统,包括硬件和软件,目的是保护网络不被他 人侵扰。本质上,它遵循的是一种允许或阻止业务来往 的网络通信安全机制,也就是提供可控的过滤网络通信, 允许授权的通信。 通常,防火墙就是位于内部网或Web站点与因特网 之间的一个路由器或一台计算机,又称为堡垒主机。其 目的如同一个安全门,为门内的部门提供安全,控制那 些可被允许出入该受保护环境的人或物。就像工作在前 门的安全卫士,控制并检查站点的访问者 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 8.1.1 因特网防火墙 1.防火墙的基本知识 防火墙是在两个网络之间执行访问控制策略的一个 或一组系统,包括硬件和软件,目的是保护网络不被他 人侵扰。本质上,它遵循的是一种允许或阻止业务来往 的网络通信安全机制,也就是提供可控的过滤网络通信, 只允许授权的通信。 通常,防火墙就是位于内部网或Web站点与因特网 之间的一个路由器或一台计算机,又称为堡垒主机。其 目的如同一个安全门,为门内的部门提供安全,控制那 些可被允许出入该受保护环境的人或物。就像工作在前 门的安全卫士,控制并检查站点的访问者
8.1防火墙基本概念 防火墙是由管理员为保护自己的网络免遭外界非授 权访问但又允许与因特网联接而发展起来的。从网际角 度,防火墙可以看成是安装在两个网络之间的一道栅栏 根据安全计划和安全策略中的定义来保护其后面的网络 由软件和硬件组成的防火墙应该具有以下功能。 1)所有进出网络的通信流都应该通过防火墙 (2)所有穿过防火墙的通信流都必须有安全策略和计划 的确认和授权 (3)理论上说,防火墙是穿不透的。 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 防火墙是由管理员为保护自己的网络免遭外界非授 权访问但又允许与因特网联接而发展起来的。从网际角 度,防火墙可以看成是安装在两个网络之间的一道栅栏, 根据安全计划和安全策略中的定义来保护其后面的网络。 由软件和硬件组成的防火墙应该具有以下功能。 (1)所有进出网络的通信流都应该通过防火墙。 (2)所有穿过防火墙的通信流都必须有安全策略和计划 的确认和授权。 (3)理论上说,防火墙是穿不透的
8.1防火墙基本概念 内部网需要防范的三种攻击有: 间谍:试图偷走敏感信息的黑客、入侵者和闯入者 盜窃:盜窃对象包括数据、Web表格、磁盘空间和CPU 资源等。 破坏系统:通过路由器或主机/服务器蓄意破坏文件系 统或阻止授权用户访问内部网(外部网)和服务器 这里,防火墙的作用是保护Web站点和公司的内部 网,使之免遭因特网上各种危险的侵犯。 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 内部网需要防范的三种攻击有: 间谍:试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃:盗窃对象包括数据、Web表格、磁盘空间和CPU 资源等。 破坏系统:通过路由器或主机/服务器蓄意破坏文件系 统或阻止授权用户访问内部网 (外部网)和服务器。 这里,防火墙的作用是保护Web站点和公司的内部 网,使之免遭因特网上各种危险的侵犯
8.1防火墙基本概念 因特网 1防火墙(内部网 防火墙在因特网与内部网中的位置 从逻辑上讲,防火墙是分离器、限制器和分析器 从物理角度看,各站点防火墙物理实现的方式有所不同 通常防火墙是一组硬件设备,即路由器、主计算机或者 是路由器、计算机和配有适当软件的网络的多种组合。 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 防火墙在因特网与内部网中的位置 从逻辑上讲,防火墙是分离器、限制器和分析器。 从物理角度看,各站点防火墙物理实现的方式有所不同。 通常防火墙是一组硬件设备,即路由器、主计算机或者 是路由器、计算机和配有适当软件的网络的多种组合
8.1防火墙基本概念 2.防火墙的基本功能 (1)防火墙能够强化安全策略 (2)防火墙能有效地记录因特网上的活动 (3)防火墙限制暴露用户点 (4)防火墙是一个安全策略的检查站 3.防火墙的不足之处 1)不能防范恶意的知情者 2)防火墙不能防范不通过它的连接 (3)防火墙不能防备全部的威胁 (4)防火墙不能防范病毒 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 2.防火墙的基本功能 (1)防火墙能够强化安全策略 (2)防火墙能有效地记录因特网上的活动 (3)防火墙限制暴露用户点 (4)防火墙是一个安全策略的检查站 3.防火墙的不足之处 (1)不能防范恶意的知情者 (2)防火墙不能防范不通过它的连接 (3)防火墙不能防备全部的威胁 (4)防火墙不能防范病毒
8.1防火墙基本概念 8.12数据包过滤 防火墙通常是一个具备包过滤功能的简单路由器, 支持因特网安全。这是使因特网联接更加安全的一种简 单方法,因为包过滤是路由器的固有属性。 包是网络上信息流动的单位。在网上传输的文件 般在发出端被划分成一串数据包,经过网上的中间站点 最终传到目的地,然后这些包中的数据又重新组成原来 的文件 每个包有两个部分:数据部分和包头。包头中含有 源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数 据包,读出并拒绝那些不符合标准的包头,过滤掉不应 入站的信息 2021 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 8.1.2数据包过滤 防火墙通常是一个具备包过滤功能的简单路由器, 支持因特网安全。这是使因特网联接更加安全的一种简 单方法,因为包过滤是路由器的固有属性。 包是网络上信息流动的单位。在网上传输的文件一 般在发出端被划分成一串数据包,经过网上的中间站点, 最终传到目的地,然后这些包中的数据又重新组成原来 的文件。 每个包有两个部分:数据部分和包头。包头中含有 源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数 据包,读出并拒绝那些不符合标准的包头,过滤掉不应 入站的信息
8.1防火墙基本概念 每个数据包都包含有特定信息的一组报头,其主要 信息是: (1)IP协议类型(TCP、UDP,ICMP等) 2)IP源地址 (3)IP目标地址 (4)IP选择域的内容; 5)TCP或UDP源端口号 (6)TCP或UDP目标端口号; (7)ICMP消息类型。 路由器也会得到一些在数据包头部信息种没有得到 的关于数据包得其他信息、。 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 每个数据包都包含有特定信息的一组报头,其主要 信息是: (1)IP协议类型(TCP、UDP,ICMP等); (2)IP源地址; (3)IP目标地址; (4)IP选择域的内容; (5)TCP或UDP源端口号; (6)TCP或UDP目标端口号; (7)ICMP消息类型。 路由器也会得到一些在数据包头部信息种没有得到 的关于数据包得其他信息
8.1防火墙基本概念 过滤路由器放置在内部网络与因特网之间,作用为: (1)过滤路由器将担负更大的责任,它不但需要执行转 发及确定转发的任务,而且它是唯一的保护系统 2)如果安全保护失败(或在侵袭下失败),内部的网 络将被暴露; (3)简单的过滤路由器不能修改任务; (4)过滤路由器能容许或否认服务,但它不能保护在 个服务之内的单独操作。如果一个服务没有提供安全的 操作要求,或者这个服务由不安全的服务器提供,数据 包过滤路由器则不能保护它。 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 过滤路由器放置在内部网络与因特网之间,作用为: (l)过滤路由器将担负更大的责任,它不但需要执行转 发及确定转发的任务,而且它是唯一的保护系统; (2)如果安全保护失败(或在侵袭下失败),内部的网 络将被暴露; (3)简单的过滤路由器不能修改任务; (4)过滤路由器能容许或否认服务,但它不能保护在 一 个服务之内的单独操作。如果一个服务没有提供安全的 操作要求,或者这个服务由不安全的服务器提供,数据 包过滤路由器则不能保护它
8.1防火墙基本概念 813代理服务 代理服务是运行在防火墙主机上的一些特定的应 用程序或者服务程序。防火墙主机可以是有一个内部 网络接口和一个外部网络接口的双重宿主主机,也可 以是一些可以访问因特网并可被内部主机访问的堡垒 主机。这些程序接受用户对因特网服务的请求(诸如 文件传输FTP和远程登录 Telnet等),并按照安全策略 转发它们到实际的服务。所谓代理就是一个提供替代 连接并且充当服务的网关。代理也称之为应用级网关 代理服务位于内部用户(在内部的网络上)和外 部服务(在因特网上)之间。代理在幕后处理所有用 户和因特网服务之间的通信以代替相互间的直接交谈 2021年2月20日6时1分 计算机网络安全基础
2021年2月20日6时1分 计算机网络安全基础 8.1 防火墙基本概念 8.1.3 代理服务 代理服务是运行在防火墙主机上的一些特定的应 用程序或者服务程序。防火墙主机可以是有一个内部 网络接口和一个外部网络接口的双重宿主主机,也可 以是一些可以访问因特网并可被内部主机访问的堡垒 主机。这些程序接受用户对因特网服务的请求(诸如 文件传输FTP和远程登录Telnet等),并按照安全策略 转发它们到实际的服务。所谓代理就是一个提供替代 连接并且充当服务的网关。代理也称之为应用级网关。 代理服务位于内部用户(在内部的网络上)和外 部服务(在因特网上)之间。代理在幕后处理所有用 户和因特网服务之间的通信以代替相互间的直接交谈
