1、第 10章 防火墙技术10.1 防火墙 的基本概念10.2 防火墙 的类型及主要技术10.3 防火墙 的体系结构10.4 典型的防火墙产品10.5 防火墙技术的发展趋势本章学习目标 n ( 1)了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。n ( 2)掌握包过滤防火墙、代理防火墙的工作原理、技术特点和实现方式;熟悉防火墙的常见体系结构。n ( 3)熟悉典型的防火墙的产品。10.1 防火墙的基本概念n 10.1.1 防火墙的 概念n 10.1.2 防火墙的 功能n 10.1.3 防火墙的局限性n 10.1.4 防火墙的发展 历史何谓防火墙n 防火墙的角色 大门警卫确认网络封包
2、内容的安全性与合法性 确认 使用者 身份10.1.1 防火墙的概念n 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和 Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,达到保护系统安全的目的。防火墙是控制外部用户访问内部网络的第一道关口。图 10.1 防火墙示意图 n 防火墙的设计思想就是在内部、外部两个网络之间建立一个具有安全控制机制的安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,来实现对内部网服务和访问的安全审计和控制。需要指出的是,防火墙虽然可以在一定程度上保护内部网的安全,但
3、内部网还应有其他的安全保护措施,这是防火墙所不能代替的。10.1.2 设置防火墙的功能n ( 1)集中化的安全管理,强化安全策略由于 Internet上每天都有上百万人在 那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的 “ 交通警察 ” ,它执行站点的安全策略,仅仅容许 “ 认可的” 和符合规则的请求通过。 n ( 2)网络日志及使用统计因为防火墙是所有进出信息必须通路,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录,对网络存取访问进行和统计。n ( 3)保护那些易受
4、攻击的服务防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。n ( 4)增强的保密用来封锁有关网点系统的 DNS信息。因此,网点系统名字和 IP地址都不要提供给 Internet。n ( 5)实施安全策略防火墙是一个安全策略的检查站,控制对特殊站点的访问。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。10.1.3 防火墙的局限性n (1)不能防范来自内部恶意的知情者的攻击防火墙不能防止专用网中内部用户对资源的攻击。它只是设在专用网和 Internet之间,对其间的信息进行干预的安全设施。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在 公文包中带出去。n (2)不能防范不通过它的连接只对所有通过防火墙的进行 Internet数据流进行处理,才能发挥防火墙的作用。防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与 Internet连通,则得不到防火墙的保护。