1、防火墙技术访问控制与防火墙技术1 计算机安全等级的划分 2 访问控制 3 防火墙技术4 包过滤技术5 应用代理技术6 防火墙应用实例防火墙技术防火墙的概念、原理 防火墙 (Firewall)原是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,一旦汽车引擎着火,防火墙不但能保护乘客安全,同时还能让司机继续控制引擎。在电脑中,防火墙是一种设备,可使个别网路不受公共部分 (因特网 )的影响。后来,将防火墙电脑简称为 “防火墙 ”,它分别连接受保护网络和因特网。 防火墙技术防火墙作为网络防护的第一道防线,它由软件或/和硬件设备组合而成,它位于企业或网络群体计算机与外界通道 (Interne
2、t)的边界,限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。防火墙是一种必不可少的安全增强点,它将不可信网络同可信任网络隔离开 (图 8-1)。防火墙筛选两个网络间所有的连接,决定哪些传输应该被允许哪些应该被禁止,这取决于网络制定的某一形式的安全策略。防火墙技术图 8-1 防火墙示意图 防火墙技术防火墙是放置在两个网络之间的一些组件,这组组件具有下列性质:(1) 双向通信必须通过防火墙; (2) 防火墙本身不会影响信息的流通; (3) 只允许本身安全策略授权的通信信息通过。防火墙技术防火墙是在内部网和外部网之间实施安全防范的系统。可认为它是一种访问控制机制,用于确定哪些内部服
3、务对外开放,以及允许哪些外部服务对内部开放。它可以根据网络传输的类型决定 IP包是否可以进出企业网、防止非授权用户访问企业内部、允许使用授权机器的用户远程访问企业内部、管理企业内部人员对 Internet的访问。防火墙的组成可用表达式说明如下:防火墙技术防火墙过滤器安全策略 (网关 )防火墙通过逐一审查收到的每个数据包,判断它是否有相匹配的过滤规则。即按表格中规则的先后顺序以及每条规则的条件逐项进行比较,直到满足某一条规则的条件,并作出规定的动作 (中止或向前转发 ),从而来保护网络的安全。防火墙技术防火墙主要提供以下四种服务:(1) 服务控制:确定可以访问的网络服务类型。(2) 方向控制:特
4、定服务的方向流控制。(3) 用户控制:内部用户、外部用户所需的某种形式的认证机制。(4) 行为控制:控制如何使用某种特定的服务。防火墙技术8.1 防火墙技术第一代防火墙出现在大约十年前,它是一种简单的包过滤路由器形式。如今,有多种防火墙技术供网络安全管理员选择。防火墙一般可以分为以下几种:包过滤型防火墙、应用网关型防火墙、电路级网关防火墙、状态检测型防火墙、自适应代理型防火墙。下面具体分析各种防火墙技术。防火墙技术8.1.1 包过滤防火墙 (TCP、 IP)包是网络上信息流动的基本单位,它由数据负载和协议头两个部分组成。包过滤作为最早、最简单的防火墙技术,正是基于协议头的内容进行过滤的。术语 “包过滤 ”通过将每一输入 /输出包中发现的信息同访问控制规则相比较来决定阻塞或放行包。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素,或它们的组合来确定是否允许该数据包通过。如果包在这一测试中失败,将在防火墙处被丢弃。包过滤防火墙如图 8-2所示。
