雙宿主機(jī)體系結(jié)構(gòu)課件

第9章防火墻技術(shù)9.1防火墻的基本概念9.2防火墻的類(lèi)型及主要技術(shù)9.3防火墻的體系結(jié)構(gòu)9.4典型的防火墻產(chǎn)品9.5防火墻技術(shù)的發(fā)展趨勢(shì)1完整版ppt課件第9章防火墻技術(shù)9.1防火墻的基本概念1完整版ppt課件本章學(xué)習(xí)目標(biāo)

（1）了解防火墻的定義、發(fā)展簡(jiǎn)史、目的、功能、局限性及其發(fā)展動(dòng)態(tài)和趨勢(shì)。（2）掌握包過(guò)濾防火墻、代理防火墻的工作原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式；熟悉防火墻的常見(jiàn)體系結(jié)構(gòu)。（3）熟悉典型的防火墻的產(chǎn)品。2完整版ppt課件本章學(xué)習(xí)目標(biāo) （1）了解防火墻的定義、發(fā)展簡(jiǎn)史、目的、功能、9.1防火墻的基本概念9.1.1防火墻的概念9.1.2防火墻的功能9.1.3防火墻的局限性9.1.5防火墻的發(fā)展歷史3完整版ppt課件9.1防火墻的基本概念9.1.1防火墻的概念3完整版pp何謂防火墻防火墻的角色——大門(mén)警衛(wèi)確認(rèn)網(wǎng)絡(luò)封包內(nèi)容的安全性與合法性確認(rèn)使用者身份4完整版ppt課件何謂防火墻防火墻的角色——大門(mén)警衛(wèi)確認(rèn)網(wǎng)絡(luò)封包內(nèi)容的安全性與9.1.1防火墻的概念防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問(wèn)，達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻是控制外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)的第一道關(guān)口。5完整版ppt課件9.1.1防火墻的概念防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之圖9.1防火墻示意圖6完整版ppt課件圖9.1防火墻示意圖6完整版ppt課件防火墻的設(shè)計(jì)思想就是在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)具有安全控制機(jī)制的安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，來(lái)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)服務(wù)和訪問(wèn)的安全審計(jì)和控制。需要指出的是，防火墻雖然可以在一定程度上保護(hù)內(nèi)部網(wǎng)的安全，但內(nèi)部網(wǎng)還應(yīng)有其他的安全保護(hù)措施，這是防火墻所不能代替的。7完整版ppt課件防火墻的設(shè)計(jì)思想就是在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)具有安全9.1.2設(shè)置防火墻的功能（1）集中化的安全管理，強(qiáng)化安全策略由于Internet上每天都有上百萬(wàn)人在那里收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。（2）網(wǎng)絡(luò)日志及使用統(tǒng)計(jì)因?yàn)榉阑饓κ撬羞M(jìn)出信息必須通路，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄，對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行和統(tǒng)計(jì)。8完整版ppt課件9.1.2設(shè)置防火墻的功能（1）集中化的安全管理，強(qiáng)化安全（3）保護(hù)那些易受攻擊的服務(wù)防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。（4）增強(qiáng)的保密用來(lái)封鎖有關(guān)網(wǎng)點(diǎn)系統(tǒng)的DNS信息。因此，網(wǎng)點(diǎn)系統(tǒng)名字和IP地址都不要提供給Internet。（5）實(shí)施安全策略防火墻是一個(gè)安全策略的檢查站，控制對(duì)特殊站點(diǎn)的訪問(wèn)。所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。9完整版ppt課件（3）保護(hù)那些易受攻擊的服務(wù)9完整版ppt課件9.1.3防火墻的局限性(1)不能防范來(lái)自?xún)?nèi)部惡意的知情者的攻擊防火墻不能防止專(zhuān)用網(wǎng)中內(nèi)部用戶對(duì)資源的攻擊。它只是設(shè)在專(zhuān)用網(wǎng)和Internet之間，對(duì)其間的信息進(jìn)行干預(yù)的安全設(shè)施。防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專(zhuān)有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤(pán)、磁帶上，放在公文包中帶出去。(2)不能防范不通過(guò)它的連接只對(duì)所有通過(guò)防火墻的進(jìn)行Internet數(shù)據(jù)流進(jìn)行處理，才能發(fā)揮防火墻的作用。防火墻能夠有效地防止通過(guò)它進(jìn)行傳輸信息，然而不能防止不通過(guò)它而傳輸?shù)男畔?。如果用網(wǎng)中有些資源繞過(guò)防火墻直接與Internet連通，則得不到防火墻的保護(hù)。10完整版ppt課件9.1.3防火墻的局限性(1)不能防范來(lái)自?xún)?nèi)部惡意的知情者(3)防火墻不能防范病毒一般防火墻不對(duì)專(zhuān)用網(wǎng)提供防護(hù)外部病毒的侵犯。病毒可以通過(guò)FTP或其它工具傳至專(zhuān)用網(wǎng)。如果要實(shí)現(xiàn)這種防護(hù)，防火墻中應(yīng)設(shè)置檢測(cè)病毒的邏輯。(4)不能防備全部的威脅防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，可以防備新的威脅，但沒(méi)有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。11完整版ppt課件(3)防火墻不能防范病毒11完整版ppt課件9.1.4防火墻的發(fā)展簡(jiǎn)史第一代防火墻：采用了包過(guò)濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱(chēng)之為第五代防火墻。12完整版ppt課件9.1.4防火墻的發(fā)展簡(jiǎn)史第一代防火墻：采用了包過(guò)濾（Pa防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史13完整版ppt課件防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史13完整版ppt課件9.2防火墻的類(lèi)型及主要技術(shù)1.從軟、硬件形式上分為：軟件防火墻硬件防火墻芯片級(jí)防火墻14完整版ppt課件9.2防火墻的類(lèi)型及主要技術(shù)1.從軟、硬件形式上分為：軟件（1）軟件防火墻：運(yùn)行于特定的計(jì)算機(jī)上，這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。（2）硬件防火墻：基于PC架構(gòu)，在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)。采用的依然是別人的內(nèi)核，依然會(huì)受到OS本身的安全性影響。（3）芯片級(jí)防火墻：基于專(zhuān)門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。轉(zhuǎn)悠的ASIC芯片使它們比其他類(lèi)的防火墻速度快，處理能力更強(qiáng)，性能更好。15完整版ppt課件（1）軟件防火墻：運(yùn)行于特定的計(jì)算機(jī)上，這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)2.按防火墻的部署位置分類(lèi)，防火墻可以分為：邊界防火墻個(gè)人防火墻混合式防火墻16完整版ppt課件2.按防火墻的部署位置分類(lèi)，防火墻可以分為：邊界防火墻個(gè)人防（1）邊界防火墻邊界防火墻是最為傳統(tǒng)的那種，它們位于內(nèi)外網(wǎng)的邊界，所起的作用是對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，這類(lèi)防火墻一般都是硬件類(lèi)型，價(jià)格較貴，性能較好。（2）個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)，通常為軟件防火墻，價(jià)格最便宜，性能也最差。（3）混合式防火墻就是“分布式防火墻”和“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干軟件和硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部主機(jī)之間，既對(duì)內(nèi)外網(wǎng)之間的通信進(jìn)行過(guò)濾，又對(duì)網(wǎng)絡(luò)內(nèi)部個(gè)主機(jī)之間的通信進(jìn)行過(guò)濾。性能最好，價(jià)格也最貴。17完整版ppt課件（1）邊界防火墻17完整版ppt課件3.從防火墻體系結(jié)構(gòu)上，可以分為包過(guò)濾防火墻和代理服務(wù)器防火墻兩大類(lèi)。（1）包過(guò)濾防火墻：工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號(hào)和協(xié)議類(lèi)型等標(biāo)志確定是否允許通過(guò)。（2）代理服務(wù)器防火墻：工作在OSI的應(yīng)用層，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層數(shù)據(jù)流的作用。18完整版ppt課件3.從防火墻體系結(jié)構(gòu)上，可以分為包過(guò)濾防火墻和代理服務(wù)器防火9.2.2包過(guò)濾技術(shù)1.包過(guò)濾技術(shù)的工作原理包過(guò)濾防火墻技術(shù)是在網(wǎng)絡(luò)的出入口（如路由器）對(duì)通過(guò)的數(shù)據(jù)包進(jìn)行檢查和選擇的，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯（包過(guò)濾規(guī)則），稱(chēng)為訪問(wèn)控制表。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)或它們的組合，來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。包過(guò)濾防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許管理員希望通過(guò)的那些數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。19完整版ppt課件9.2.2包過(guò)濾技術(shù)1.包過(guò)濾技術(shù)的工作原理19完整版pp傳輸層網(wǎng)絡(luò)層鏈路層物理層Internet內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾路由器傳輸層網(wǎng)絡(luò)層鏈路層物理層20完整版ppt課件傳輸層數(shù)據(jù)包過(guò)濾傳輸層20完整版ppt課件在網(wǎng)絡(luò)上傳輸?shù)拿總€(gè)數(shù)據(jù)包都可分為兩部分：數(shù)據(jù)部分和包頭。包過(guò)濾器就是根據(jù)包頭信息來(lái)判斷該包是否符合網(wǎng)絡(luò)管理員設(shè)定的規(guī)則表中的規(guī)則，以確定是否允許該數(shù)據(jù)包通過(guò)。包過(guò)濾規(guī)則一般是基于部分或全部包頭信息的，如IP協(xié)議類(lèi)型、IP源地址、IP選擇域的內(nèi)容、TCP源端口號(hào)、TCP目的端口號(hào)等。21完整版ppt課件在網(wǎng)絡(luò)上傳輸?shù)拿總€(gè)數(shù)據(jù)包都可分為兩部分：數(shù)據(jù)部分和包頭。212.過(guò)濾路由器和普通路由器增加了包過(guò)濾防火墻軟件、具備了過(guò)濾特性的路由器叫做過(guò)濾路由器。普通路由器只簡(jiǎn)單地查看每一個(gè)數(shù)據(jù)包的目的地址，并選擇數(shù)據(jù)包發(fā)往目的地址的最佳路徑。在對(duì)數(shù)據(jù)包做出路由決定時(shí)，普通路由器只依據(jù)包的目的地址引導(dǎo)包，而過(guò)濾路由器將更嚴(yán)格地檢查數(shù)據(jù)包。除了決定它是否發(fā)送數(shù)據(jù)包到達(dá)其目的地址外，過(guò)濾路由器還決定數(shù)據(jù)包是否應(yīng)該發(fā)送。過(guò)濾路由器以包的目的地址、包的源地址和包的傳輸協(xié)議為依據(jù)，確定允許或不允許某些包在網(wǎng)上傳輸。22完整版ppt課件2.過(guò)濾路由器和普通路由器增加了包過(guò)濾防火墻軟件、具3.包過(guò)濾規(guī)則包過(guò)濾防火墻的過(guò)濾規(guī)則的主要描述形式有邏輯過(guò)濾規(guī)則表、文件過(guò)濾規(guī)則表和內(nèi)存過(guò)濾規(guī)則表。大多數(shù)包過(guò)濾系統(tǒng)判斷是否傳輸包時(shí)都不關(guān)心包的具體內(nèi)容，而是讓用戶進(jìn)行如下操作：（1）不允許用戶從外部網(wǎng)絡(luò)用TELNET登錄。（2）允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)送電子郵件。（3）只允許某臺(tái)機(jī)器通過(guò)NNTP（網(wǎng)絡(luò)新聞傳輸協(xié)議）往內(nèi)部網(wǎng)絡(luò)發(fā)送新聞。但包過(guò)濾系統(tǒng)不同意進(jìn)行如下操作：（1）允許某用戶從外部網(wǎng)絡(luò)用TELNET登錄而不允許其他用戶進(jìn)行這種操作。（2）允許某用戶傳送一些文件而不允許該用戶傳送其他文件。23完整版ppt課件3.包過(guò)濾規(guī)則包過(guò)濾防火墻的過(guò)濾規(guī)則的主要描述形式4.包過(guò)濾防火墻的特點(diǎn)包過(guò)濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過(guò)濾對(duì)用戶透明、過(guò)濾路由器速度快、效率高。包過(guò)濾的缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。24完整版ppt課件4.包過(guò)濾防火墻的特點(diǎn)包過(guò)濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、9.2.3代理服務(wù)技術(shù)1.代理服務(wù)技術(shù)的原理

代理服務(wù)器型防火墻（ProxyServiceFirewall）通過(guò)在主機(jī)上運(yùn)行代理的服務(wù)程序，直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù)，因此也稱(chēng)為應(yīng)用級(jí)網(wǎng)關(guān)。它擔(dān)任應(yīng)用級(jí)通信量的中繼，其核心是運(yùn)行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程，代理網(wǎng)絡(luò)用戶完成TCP/IP功能，應(yīng)用網(wǎng)關(guān)與ISO七層模型如下圖所示。25完整版ppt課件9.2.3代理服務(wù)技術(shù)1.代理服務(wù)技術(shù)的原理25完整Internet內(nèi)部網(wǎng)絡(luò)傳輸層網(wǎng)絡(luò)層鏈路層物理層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用網(wǎng)關(guān)應(yīng)用層應(yīng)用層應(yīng)用網(wǎng)關(guān)與OSI七層模型26完整版ppt課件Internet內(nèi)部網(wǎng)絡(luò)傳輸層傳輸層應(yīng)用網(wǎng)關(guān)應(yīng)用層應(yīng)用從內(nèi)部網(wǎng)用戶發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。代理服務(wù)器是指它代表客戶處理在服務(wù)器連接請(qǐng)求的程序。代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來(lái)說(shuō)像是一臺(tái)真的服務(wù)器，而對(duì)于外部網(wǎng)的服務(wù)器來(lái)說(shuō)，它又似一臺(tái)客戶機(jī)。代理服務(wù)器并非將用戶的全部網(wǎng)絡(luò)請(qǐng)求都提交給Internet上的真正服務(wù)器，而是依據(jù)安全規(guī)則和用戶的請(qǐng)求做出判斷，是否代理執(zhí)行該請(qǐng)求，有的請(qǐng)求可能被否決。當(dāng)用戶提供了正確的用戶身份及認(rèn)證信息后，代理服務(wù)器建立與外部Internet服務(wù)器的連接，為兩個(gè)通信點(diǎn)充當(dāng)中繼。代理服務(wù)器通常都擁有一個(gè)高速cache，這個(gè)cache存儲(chǔ)用戶頻繁訪問(wèn)的站點(diǎn)內(nèi)容（頁(yè)面）。27完整版ppt課件從內(nèi)部網(wǎng)用戶發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像網(wǎng)際網(wǎng)絡(luò)真正的服務(wù)器

客戶機(jī)應(yīng)用代理服務(wù)器(驗(yàn)證信息是否安全)接收/傳送外界信息經(jīng)過(guò)確認(rèn)的信息包內(nèi)部網(wǎng)絡(luò)Internet28完整版ppt課件網(wǎng)際網(wǎng)絡(luò)真正的服務(wù)器客戶機(jī)應(yīng)用代理服務(wù)器接收/2.代理服務(wù)器的實(shí)現(xiàn)代理服務(wù)技術(shù)控制對(duì)應(yīng)用程序的訪問(wèn)，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。代理服務(wù)器適用于特定的互聯(lián)網(wǎng)服務(wù)，對(duì)每種不同的服務(wù)都應(yīng)用一個(gè)相應(yīng)的代理。如代理HTTP、FTP、E-mail、TELNET、WWW、DNS、POP3、IRC等。代理服務(wù)器的實(shí)現(xiàn)方式有以下幾種：應(yīng)用代理服務(wù)器、回路級(jí)代理服務(wù)器、智能代理服務(wù)器、隔離代理服務(wù)器、郵件轉(zhuǎn)發(fā)服務(wù)器。29完整版ppt課件2.代理服務(wù)器的實(shí)現(xiàn)代理服務(wù)技術(shù)控制對(duì)應(yīng)用程序的訪問(wèn)3.代理服務(wù)器特點(diǎn)

代理服務(wù)器比分組過(guò)濾器更安全。這種防火墻能完全控制網(wǎng)絡(luò)信息的交換、控制會(huì)話過(guò)程，具有靈活性和安全性，但可能影響網(wǎng)絡(luò)的性能，對(duì)用戶不透明，且對(duì)每一種服務(wù)器都要設(shè)計(jì)1個(gè)代理模塊，應(yīng)用層網(wǎng)關(guān)能讓網(wǎng)絡(luò)管理員對(duì)服務(wù)進(jìn)行全面的控制。①在應(yīng)用層對(duì)所有進(jìn)入的通信量記錄日志和審計(jì)也很容易。支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息；②用于應(yīng)用層的過(guò)濾規(guī)則相對(duì)于包過(guò)濾路由器來(lái)說(shuō)更容易配置和測(cè)試。30完整版ppt課件3.代理服務(wù)器特點(diǎn)代理服務(wù)器比分組過(guò)濾器更安缺點(diǎn)：

是每個(gè)連接上增加了額外的處理負(fù)載。從效果上看，最終用戶之間存在兩個(gè)串接的連接，網(wǎng)關(guān)處于串接點(diǎn)，網(wǎng)關(guān)必須在兩個(gè)方向上檢查和轉(zhuǎn)發(fā)所有通信量。要求用戶改變自己的行為，或者在訪問(wèn)代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的軟件。例如，透過(guò)應(yīng)用層網(wǎng)關(guān)Telnet訪問(wèn)要求用戶通過(guò)二步而不是一步來(lái)建立連接。不過(guò)，特殊的端系統(tǒng)軟件可以讓用戶在Telnet命令中指定目標(biāo)主機(jī)而不是應(yīng)用層網(wǎng)關(guān)來(lái)應(yīng)用層網(wǎng)關(guān)透明。31完整版ppt課件缺點(diǎn)：31完整版ppt課件9.2.4狀態(tài)檢測(cè)技術(shù)1.狀態(tài)檢測(cè)技術(shù)的工作原理這是繼“包過(guò)濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是checkpoint技術(shù)公司率先提出，又稱(chēng)“動(dòng)態(tài)包過(guò)濾”。這種防火墻技術(shù)通過(guò)一種被稱(chēng)為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并根據(jù)各種過(guò)濾規(guī)則作出安全決策?；跔顟B(tài)檢測(cè)技術(shù)的防火墻不僅僅對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，還對(duì)控制通信的基本因素狀態(tài)信息（狀態(tài)信息包括通信信息、通信狀態(tài)、應(yīng)用狀態(tài)和信息操作性）進(jìn)行檢測(cè)。通過(guò)狀態(tài)檢測(cè)虛擬機(jī)維護(hù)一個(gè)動(dòng)態(tài)的狀態(tài)表，記錄所有的連接通信信息、通信狀態(tài)，以完成對(duì)數(shù)據(jù)包的檢測(cè)和過(guò)濾。32完整版ppt課件9.2.4狀態(tài)檢測(cè)技術(shù)1.狀態(tài)檢測(cè)技術(shù)的工作原理32完整版2.狀態(tài)檢測(cè)防火墻提供的額外服務(wù)狀態(tài)檢測(cè)防火墻可提供的額外服務(wù)有：（1）將某些類(lèi)型的連接重定向到審核服務(wù)中去。如與專(zhuān)用Web服務(wù)器的連接，在Web服務(wù)器連接被允許之前，可能重定向到SecurID服務(wù)器（使用一次性口令）。（2）拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信。如拒絕攜帶帶有附加可執(zhí)行程序的傳入電子消息，或包含AtiveX程序的Web頁(yè)面。33完整版ppt課件2.狀態(tài)檢測(cè)防火墻提供的額外服務(wù)狀態(tài)檢測(cè)防火墻可提供的額外服3.通過(guò)狀態(tài)檢測(cè)防火墻的數(shù)據(jù)包類(lèi)型跟蹤連接狀態(tài)的方式取決于包通過(guò)防火墻的類(lèi)型：（1）TCP包。當(dāng)建立起一個(gè)TCP連接時(shí)，通過(guò)的第一個(gè)包被標(biāo)有包的SYN標(biāo)志。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來(lái)處理它們。對(duì)內(nèi)部的連接試圖連到外部主機(jī)，防火墻注明連接包，允許響應(yīng)及隨后再兩個(gè)系統(tǒng)之間的包，直到連接結(jié)束為止。在這種方式下，傳入的包只有在它是響應(yīng)一個(gè)已建立的連接時(shí)，才會(huì)被允許通過(guò)。（2）UDP包。UDP包比TCP包簡(jiǎn)單，因?yàn)樗鼈儾话魏芜B接或序列信息。它們只包含源地址、目的地址、校驗(yàn)和攜帶的數(shù)據(jù)。這種信息的缺乏使得防火墻確定包的合法性很困難，因?yàn)闆](méi)有打開(kāi)的連接可利用，以測(cè)試傳入的包是否應(yīng)被允許通過(guò)?？墒?，如果防火墻跟蹤包的狀態(tài)，就可以確定。對(duì)傳入的包，若它所使用的地址和UDP包攜帶的協(xié)議與傳出的連接請(qǐng)求匹配，該包就被允許通過(guò)。和TCP包一樣，沒(méi)有傳入的UDP包會(huì)被允許通過(guò)，除非它是響應(yīng)傳出的請(qǐng)求或已經(jīng)建立了指定的規(guī)則來(lái)處理它。對(duì)其他種類(lèi)的包，情況和UDP包類(lèi)似。防火墻仔細(xì)地跟蹤傳出的請(qǐng)求，記錄下所使用的地址、協(xié)議和包的類(lèi)型，然后對(duì)照保存過(guò)的信息核對(duì)傳入的包，以確保這些包是被請(qǐng)求的。34完整版ppt課件3.通過(guò)狀態(tài)檢測(cè)防火墻的數(shù)據(jù)包類(lèi)型跟蹤連接狀態(tài)的方式取決于包4.狀態(tài)檢測(cè)防火墻的特點(diǎn)和應(yīng)用狀態(tài)檢測(cè)防火墻結(jié)合了包過(guò)濾防火墻和代理防火墻的特點(diǎn)。與包過(guò)濾防火墻一樣，它能夠在OSI網(wǎng)絡(luò)層上通過(guò)IP地址和端口號(hào)過(guò)濾進(jìn)出的數(shù)據(jù)包；它也像代理服務(wù)器防火墻那樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包內(nèi)容，查看這些內(nèi)容是否符合公司網(wǎng)絡(luò)的安全規(guī)則。狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻唯一的缺點(diǎn)就是所有這些記錄、測(cè)試和分析工作可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時(shí)有許多連接激活的時(shí)候，或者是有大量的過(guò)濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)?？墒牵布俣仍娇?，這個(gè)問(wèn)題就越不易察覺(jué)，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。35完整版ppt課件4.狀態(tài)檢測(cè)防火墻的特點(diǎn)和應(yīng)用狀態(tài)檢測(cè)防火墻結(jié)合了包過(guò)9.2.5自適應(yīng)代理技術(shù)新近推出的自適應(yīng)代理（AdaptiveProxy）防火墻技術(shù)，本質(zhì)上也屬于代理服務(wù)技術(shù)，但它也結(jié)合了動(dòng)態(tài)包過(guò)濾（狀態(tài)檢測(cè)）技術(shù)。組成這種防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器和動(dòng)態(tài)包過(guò)濾器。它結(jié)合了代理服務(wù)防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在保證安全性的基礎(chǔ)上將代理服務(wù)器防火墻的性能提高10倍以上。36完整版ppt課件9.2.5自適應(yīng)代理技術(shù)新近推出的自適應(yīng)代理（A9.3防火墻的體系結(jié)構(gòu)由于用戶的網(wǎng)絡(luò)安全需求和防范目的不同，在實(shí)現(xiàn)具體的防火墻系統(tǒng)時(shí)，通過(guò)不同部署，可以形成下面四種不同類(lèi)型：包過(guò)濾防火墻雙穴主機(jī)結(jié)構(gòu)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻37完整版ppt課件9.3防火墻的體系結(jié)構(gòu)由于用戶的網(wǎng)絡(luò)安全需求和防范目的不同9.3.1包過(guò)濾防火墻包過(guò)濾防火墻也稱(chēng)作包過(guò)濾路由器，它是最基本、最簡(jiǎn)單的一種防火墻，可以再一般的路由器上實(shí)現(xiàn)，也可以在基于主機(jī)的路由器上實(shí)現(xiàn)，如圖：INTERNET路由器客戶機(jī)客戶機(jī)客戶機(jī)服務(wù)器內(nèi)部網(wǎng)絡(luò)防火墻38完整版ppt課件9.3.1包過(guò)濾防火墻包過(guò)濾防火墻也稱(chēng)作包過(guò)濾路由器，它是如果在內(nèi)部網(wǎng)絡(luò)與外界之間已有一臺(tái)路由器，那么只需簡(jiǎn)單地加一包過(guò)濾軟件進(jìn)去，就可以實(shí)現(xiàn)網(wǎng)絡(luò)保護(hù)。過(guò)濾路由器允許被保護(hù)網(wǎng)絡(luò)的多臺(tái)主機(jī)與外部網(wǎng)絡(luò)比如Internet網(wǎng)絡(luò)的多臺(tái)主機(jī)進(jìn)行直接通信，其危險(xiǎn)性分布在被保護(hù)網(wǎng)絡(luò)的全部主機(jī)以及允許訪問(wèn)的各種服務(wù)類(lèi)型上。它很少或沒(méi)有日志記錄能力，當(dāng)網(wǎng)絡(luò)被擊破時(shí)，幾乎無(wú)法保留攻擊者的蹤跡，所以網(wǎng)絡(luò)管理員很難確認(rèn)系統(tǒng)是否正在被入侵或已經(jīng)被入侵了。一旦該設(shè)備發(fā)生故障，就會(huì)使網(wǎng)絡(luò)門(mén)戶大開(kāi)，而管理員甚至不知道。包過(guò)濾防火墻適用于規(guī)模小的簡(jiǎn)單網(wǎng)絡(luò)。39完整版ppt課件如果在內(nèi)部網(wǎng)絡(luò)與外界之間已有一臺(tái)路由器，那么只需簡(jiǎn)單地9.3.2雙宿主機(jī)結(jié)構(gòu)防火墻

雙宿主機(jī)體系結(jié)構(gòu)是多宿主機(jī)的一個(gè)特例，是連接兩個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)，是圍繞具有雙宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而，實(shí)現(xiàn)雙宿主機(jī)的作為防火墻的雙宿主機(jī)體系結(jié)構(gòu)禁止這種發(fā)送IP數(shù)據(jù)包功能。40完整版ppt課件9.3.2雙宿主機(jī)結(jié)構(gòu)防火墻雙宿主機(jī)體系結(jié)雙宿主機(jī)體系結(jié)構(gòu)主機(jī)A主機(jī)B41完整版ppt課件雙宿主機(jī)體系結(jié)構(gòu)41完整版ppt課件網(wǎng)絡(luò)1上的主機(jī)A可以訪雙宿主機(jī)上的應(yīng)用程序A。類(lèi)似的，主機(jī)B可以訪問(wèn)雙宿主機(jī)上的應(yīng)用程序B。雙宿主機(jī)上的這個(gè)兩個(gè)應(yīng)用程序甚至可以共享數(shù)據(jù)來(lái)交換信息是完全可能的，并且，在雙宿主機(jī)上相連的兩個(gè)網(wǎng)絡(luò)段之間沒(méi)有網(wǎng)絡(luò)流量的交換。雙宿主機(jī)網(wǎng)關(guān)是在堡壘主機(jī)中插裝兩塊網(wǎng)絡(luò)口卡，并在其上運(yùn)行服務(wù)器軟件，受保護(hù)網(wǎng)與Internet之間不能直接進(jìn)行通信，必須經(jīng)過(guò)壁壘主機(jī)，因此，不必現(xiàn)實(shí)的列出保護(hù)網(wǎng)與外部網(wǎng)之間的路由，從而達(dá)到受保護(hù)網(wǎng)除了看到壁壘主機(jī)之外，不能看到其他任何系統(tǒng)效果。42完整版ppt課件網(wǎng)絡(luò)1上的主機(jī)A可以訪雙宿主機(jī)上的應(yīng)用程序A。類(lèi)似的，

因而，IP數(shù)據(jù)分組從一個(gè)網(wǎng)絡(luò)（例如，Internet）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如，內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙宿主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)（在Internet上）能與雙宿主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。雙宿主機(jī)的防火墻體系結(jié)構(gòu)很簡(jiǎn)單，雙宿主機(jī)位于兩者之間，并且被連接到Internet和內(nèi)部的網(wǎng)絡(luò)。如圖所示.43完整版ppt課件因而，IP數(shù)據(jù)分組從一個(gè)網(wǎng)絡(luò)（例如，Interne雙宿主機(jī)是防火墻使用的最基本配置，雙宿主防火墻主機(jī)的重要性是路由被禁；網(wǎng)段之間唯一的路徑是通過(guò)應(yīng)用層的功能。如果路由意外地設(shè)有配置，且IP轉(zhuǎn)發(fā)允許，那么雙宿主防火墻的應(yīng)用層功能就可能被越過(guò)。44完整版ppt課件雙宿主機(jī)是防火墻使用的最基本配置，雙宿主防火墻主機(jī)的重要9.3.3屏蔽主機(jī)防火墻屏蔽主機(jī)體系結(jié)構(gòu)防火墻配置需要一個(gè)帶數(shù)據(jù)分組過(guò)濾功能的路由器和一臺(tái)堡壘主機(jī)，如圖所示。45完整版ppt課件9.3.3屏蔽主機(jī)防火墻屏蔽主機(jī)體系結(jié)構(gòu)防火墻配置

在這種體系結(jié)構(gòu)中，防火墻系統(tǒng)提供的安全等級(jí)較高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全和應(yīng)用層安全。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)安全之前，必須首先滲透兩種不同的安全系統(tǒng)。使用一個(gè)單獨(dú)的路由器控制所有出入內(nèi)部網(wǎng)的訪問(wèn)，并將所有的請(qǐng)求傳送給堡壘主機(jī)。主要的安全由數(shù)據(jù)包過(guò)濾。代理服務(wù)將通過(guò)防火墻的通信鏈路分為兩段：防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)的應(yīng)用層鏈路優(yōu)先兩個(gè)終止于ProxyServer的“鏈路”來(lái)實(shí)現(xiàn)：外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能達(dá)到ProxyServer，從而內(nèi)網(wǎng)與外網(wǎng)計(jì)算機(jī)系統(tǒng)實(shí)現(xiàn)隔離。46完整版ppt課件在這種體系結(jié)構(gòu)中，防火墻系統(tǒng)提供的安全等級(jí)較高，因?yàn)樗鼘?shí)9.3.4屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)。用兩個(gè)分組過(guò)濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)部網(wǎng)絡(luò)與Internet之間有一個(gè)小型的獨(dú)立網(wǎng)絡(luò)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開(kāi)，如圖所示。47完整版ppt課件9.3.4屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外對(duì)外服務(wù)器隔離區(qū)DMZ48完整版ppt課件對(duì)外服務(wù)器隔離區(qū)DMZ48完整版ppt課件兩個(gè)分組過(guò)濾路由器，一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。通過(guò)屏蔽子網(wǎng)防火墻訪問(wèn)內(nèi)部網(wǎng)絡(luò)要受到路由器過(guò)濾規(guī)則的保護(hù)。堡壘主機(jī)、信息服務(wù)器、調(diào)制解調(diào)器組以及其他公用服務(wù)器放在子網(wǎng)中。屏蔽子網(wǎng)中的主機(jī)是內(nèi)部網(wǎng)和Internet都能訪問(wèn)唯一系統(tǒng)，他支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。（1）周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)是另一個(gè)安全層，是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域，周邊網(wǎng)絡(luò)在那個(gè)侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個(gè)附加的保護(hù)層。49完整版ppt課件兩個(gè)分組過(guò)濾路由器，一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間，另一（2）堡壘主機(jī)將過(guò)濾和代理服務(wù)等功能結(jié)合起來(lái)形成新的防火墻，所用主機(jī)稱(chēng)為堡壘主機(jī)（bastionHosts）。堡壘主機(jī)是一個(gè)組織的網(wǎng)絡(luò)安全的中心主機(jī)。它是一個(gè)專(zhuān)門(mén)的系統(tǒng)，具有特殊的裝備，并能抵御攻擊。堡壘主機(jī)提供安全性功能的幾種特點(diǎn)如下：堡壘主機(jī)的硬件執(zhí)行一個(gè)安全版本的操作系統(tǒng)。只有網(wǎng)絡(luò)管理員認(rèn)為必需的服務(wù)才能在堡壘主機(jī)上安裝。每個(gè)代理在堡壘主機(jī)上都以非特權(quán)用戶的身份運(yùn)行在其自己的并且是安全的目錄中。50完整版ppt課件（2）堡壘主機(jī)50完整版ppt課件堡壘主機(jī)負(fù)責(zé)提供代理服務(wù)。一般采用以下幾種技術(shù)：①動(dòng)態(tài)包過(guò)濾；②內(nèi)核透明技術(shù)；③用戶認(rèn)證機(jī)制；④內(nèi)容和策略感知能力；⑤內(nèi)部信息隱藏；⑥智能日志、審計(jì)和實(shí)時(shí)報(bào)警；⑦防火墻的交互操作性等。51完整版ppt課件堡壘主機(jī)負(fù)責(zé)提供代理服務(wù)。一般采用以下幾種技術(shù)：51完整版p（3）內(nèi)部路由器內(nèi)部路由器（有時(shí)被稱(chēng)為阻塞路由器）保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作。它允許從內(nèi)部網(wǎng)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過(guò)濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。內(nèi)部路由器所允許的在堡壘主機(jī)（在周邊網(wǎng)上）和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在Internet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來(lái)自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。52完整版ppt課件（3）內(nèi)部路由器52完整版ppt課件（4）外部路由器外部路由器有時(shí)也被稱(chēng)為訪問(wèn)路由器，起著保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)免受來(lái)自Internet的攻擊。實(shí)際上，外部路由器傾向于允許幾乎任何信息從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過(guò)濾。保護(hù)內(nèi)部機(jī)器的數(shù)據(jù)包過(guò)濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應(yīng)該是一樣的；如果在規(guī)則中有允許攻擊者訪問(wèn)的錯(cuò)誤，錯(cuò)誤就可能出現(xiàn)在兩個(gè)路由器上。實(shí)際上外部路由器能有效地執(zhí)行的安全任務(wù)之一是：阻止從Internet上偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱(chēng)來(lái)自?xún)?nèi)部的網(wǎng)絡(luò)，但實(shí)際上是來(lái)自Internet。53完整版ppt課件（4）外部路由器53完整版ppt課件9.4典型防火墻產(chǎn)品選擇防火墻需要注意一些原則：1.防火墻的基本功能（1）防火墻本身支持安全策略，而不是添加上去的。（2）有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法。（3）可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過(guò)濾。（4）檢查、認(rèn)證、警告、記錄等功能。2.有較強(qiáng)的適應(yīng)能力3.防火墻本身安全4.適合工作模式54完整版ppt課件9.4典型防火墻產(chǎn)品選擇防火墻需要注意一些原則：54完整版5.能滿足特殊要求（1）雙重DNS（2）網(wǎng)絡(luò)地址轉(zhuǎn)換功能（NAT）（3）虛擬專(zhuān)用網(wǎng)（4）掃毒功能（5）連接數(shù)等特殊功能（6）易于管理6.并發(fā)連接數(shù)、網(wǎng)絡(luò)吞吐量和安全過(guò)濾帶寬等其他指標(biāo)55完整版ppt課件5.能滿足特殊要求55完整版ppt課件各類(lèi)防火墻的優(yōu)缺點(diǎn)產(chǎn)品類(lèi)型優(yōu)點(diǎn)缺點(diǎn)免費(fèi)軟件防火墻免費(fèi)、文件小、易于