1、安全防火墙朱思如20114161一:防火墙由于 Internet的 迅速 发展 ,提供 了发布信息和检索信息的 场所,但 它也 带来 了信息污染和信息破坏的 危险 ,人们为了保护其数据 和资源的 安全 ,出现了防火墙 。防火墙从 本质上 说是 一种 保护装置。它保护的是数据、资源和用户 的声誉。1.Internet防火墙 防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另 一部分的 设施。从理论上 讲 Internet防火墙 服务也属于类似目的。它 防止 Internet上的危险 (病毒、资源盗用等)传播到你的网络内部 。 而事实上 Internet防火墙 不象一座现代化大厦中的防火墙,
2、更象北京故宫的护城河。它 服务多个目的: ( 1) 限制人们从一个特别的控制点进入; ( 2) 防止侵入者接近你的其它设施; ( 3) 限定人们从一个特别的点离开; ( 4) 有效的阻止破坏者对你的计算机系统进行破坏。 因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。2.防火墙 的优点 ( 1) 防火墙能强化 安全策略 ( 2)防火墙 能有效地 记录 Internet上 的 活动 ( 3) 防火墙限制暴露用户点 ( 4) 防火墙是一个安全策略的检查站3、防火墙 的不足之处 ( 1) 不能防范恶意的知情 者 ( 2) 不能防范不通过它的 连接 ( 3) 不能防备全部的 威胁 ( 4)
3、 防火墙不能防范病毒7二 、 防火墙体系结构 包过滤型防火墙 (Package Filtering Firewall) 双宿 /多宿主机防火墙 (Dual-Homed/Multi-Homed Host Firewall) 屏蔽主机防火墙 (Screened Host Firewall) 屏蔽子网防火墙 (Screened Subnet Firewall) 其它防火墙结构8包 过滤型防火墙 包过滤型防火墙,往往可以用一台过滤路由器(Screened Router)来实现,对所接收的每个数据包做允许 /拒绝的决定 包过滤型防火墙一般作用在网络层,故也称网络层防火墙或 IP过滤器9查找对应的控制策略根据策略决定如何处理该数据包数据包包过滤型防火墙数据包拆开数据包数据TCP报头IP报头分组过滤判断信息企业内部网UDPDiscardHost CHost BTCPPassHost CHost ADestination ProtocolPermitSource包过滤规则Host CHost A10包过滤型防火墙 路由器审查每个数据包,确定其是否与某一条包过滤规则匹配 过滤规则基于可以提供给 IP转发过程的包头信息,包头信息中包括:源 IP地址、目标 IP地址协议类型 (TCP、 UDP、 ICMP等等 )TCP/UDP源端口、目标端口ICMP消息类型TCP包头中的 ACK位等