防火墙与隔离网闸.ppt

防火墙与隔离网闸
第9章 防火墙与隔离网闸
防火墙概述
防火墙的概念
防火墙的特性
防火墙的功能
防火墙体系结构


宿主机更冒风险，但实际上双宿主机体系结构在防备数据包流入内网时也会造成失败。总之保护路由器比保护主机更容易实现，因为路由器提供非常有限的服务，漏洞要比主机少得多，所以主机屏蔽防火墙体系结构能提供更好的安全性和可用性。
防火墙与隔离网闸

子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽体系结构，即通过添加周边网络更进一步地把内部网络与外网隔离。如图9-5所示。
屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器，位于堡垒主机的两端，一端连接内网，一端连接外网。为了入侵这种类型的体系结构，入侵者必须穿透两个屏蔽路由器。即使入侵者控制了堡垒主机，他仍然需要通过内网端的屏蔽路由器才能到达内网。
图9-5 子网屏蔽防火墙
防火墙与隔离网闸

在构造防火墙体系时，一般很少使用单一的技术，通常都是多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务，以及网管中心能接受什么等级的风险。还要看投资经费、技术人员的水平和时间等问题。一般包括下面几种形式：
使用多个堡垒主机
合并内部路由器和外部路由器
合并堡垒主机和外部路由器
合并堡垒主机和内部路由器
使用多个内部路由器
使用多个外部路由器
使用多个周边网络
使用双宿主主机与屏蔽子网
防火墙与隔离网闸
防火墙技术

防火墙所使用的主要技术有:
包过滤技术
应用网关技术
***技术
防火墙与隔离网闸
包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。
例如，用于特定的因特网服务的服务器驻留在特定的端口号的事实（如TCP端口23用于Telnet连接），使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。
包过滤技术作为防火墙的应用有三类: 一是路由设备在完成路由选择和数据转发之外, 同时进行包过滤, 这是目前较常用的方式; 二是在工作站上使用软件进行包过滤, 这种方式价格较贵; 三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。

防火墙与隔离网闸

应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点。在实际工作中, 应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时，服务器将检查所缓存的页面是否是最新的版本（即该页面是否已更新），如果是最新版本，则直接提交给用户，否则，到真正的服务器上请求最新的页面，然后再转发给用户。
防火墙与隔离网闸
3.***技术
***（Proxy Server）作用在应用层，它用来提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它接点的直接请求。
具体地说，***是运行在防火墙主机上的专门的应用程序或者服务器程序；防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求（诸如FTP、Telnet），并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。
包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便，缺点是审计功能差，过滤规则的设计存在矛盾关系，过滤规则简单，安全性差，过滤规则复杂，管理困难。一旦判断条件满足, 防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。代理技术则能进行安全控制又可以加速访问，能够有效地实现防火墙内外计算机系统的隔离，安全性好，还可用于实施较强