第7章防火墙第7章防火墙1、防火墙概述防火墙实际上是一种访问控制技术，它在一个被认为是安全、可信的内部网络和一个不安全、可信的外部网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。它能允许用户“同意”的人和数据进入用户的网络，同时将用户“不同意”的人和数据拒之网外。防火墙是一类防范措施的总称，不是一个单独的计算机程序或设备。在物理上，它通常是一组硬件设备和软件的多种组合；使用防火墙保护的益处：（1）所有风险区域都集中在单一系统即防火墙上，安全管理者就可针对网络的某个方面进行管理，而采取的安全措施对网络中的其他区域并不会有多大影响。（2）监测与控制装置仅需安装在防火墙中。（3）内部网络与外部的一切联系都必须通过防火墙进行，因此防火墙能够监视与控制所有联系过程。2、防火墙的功能3、防火墙的功能3、防火墙的功能3、防火墙的功能4.防火墙的分类5、防火墙的发展过程5、防火墙的发展过程5、防火墙的发展过程5、防火墙的发展过程6、防火墙实现技术原理6、防火墙实现技术原理6、防火墙实现技术原理6、防火墙实现技术原理防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统(在Internet上)能与双重宿主主机通信，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。（1）所有风险区域都集中在单一系统即防火墙上，安全管理者就可针对网络的某个方面进行管理，而采取的安全措施对网络中的其他区域并不会有多大影响。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。然后防火墙等待一个返回的确认连接的数据包，对于返回的连接请求的数据包类型需要做出判断，确认其是否含有SYN/ACK标志，当接收到这样的包，防火墙将连接的时间溢出值设定为3600s。某些服务可以被允许直接经由数据包过滤，而其他服务可以被允许仅仅间接地经过代理。内部路由器(又称阻塞路由器)位于内部网和周边网络之间，用于保护内部网不受周边网络和Internet的侵害，它执行了大部分的过滤工作。使用防火墙就可以隐蔽那些透露内部细节的服务如Finger、DNS等。（3）内部网络与外部的一切联系都必须通过防火墙进行，因此防火墙能够监视与控制所有联系过程。1防火墙的基本概念但同时第二代防火墙无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，导致配置和维护过程复杂、费时，使用中出现差错的情况较多。周边网络也称为“停火区”或者“非军事区”(DMZ)，周边网络用了两个包过滤路由器和一个堡垒主机。(3)针对不同的应用，需要建立不同的服务代理，以处理客户端的访问请求。从防火墙的发展趋势来看，未来的防火墙识别能够通过的信息的效率将更高，同时在功能上向“透明”、“低级”方向逐渐发展。应用层网关型防火墙还对进出防火墙的信息进行记录，并可由网络管理员监视和管理防火墙的使用情况。它是提供信息安全服务、实现网络和信息安全的基础设施。由以上可以看出，防火墙最基本的构件既不是软件也不是硬件，而是构造防火墙的思想，这种思想会极大地影响对网络数据设计路由的方法。6、防火墙实现技术原理6、防火墙实现技术原理6、防火墙实现技术原理6、防火墙实现技术原理6、防火墙实现技术原理7、防火墙体系结构7、防火墙体系结构如果需要继续通信，这个连接状态会被继续以50s的周期维持下去。内部过滤路内器也用来过滤内部网络和堡垒主机之间的数据包，这样做是为了防止堡垒土机被攻占。6．支持网络地址转换。一个位于周边网与内部网络之间，另一个位于周边网与外部网络(通常为Internet)之间。如果没有堡垒主机，网络之间将不能相互访问。在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:堡垒主机是Internet上的主机能连接到内网上的系统的桥梁(如传送进来的电子邮件)。在物理上，它通常是一组硬件设备和软件的多种组合；代理防火墙也就是经常提到的代理服务器(ProxyServer)、应用网关(ApplicationGateway)，它工作在应用层，适用于某些特定的服务、如HTTP，FTP等。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。但缺点是维护比较困难；（1）所有风险区域都集中在单一系统即防火墙上，安全管理者就可针对网络的某个方面进行管理，而采取的安全措施对网络中的其他区域并不会有多大影响。防火墙检查模块一般检查的项包括：源、目的IP地址；由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境会变得更安全。双宿主机的路由功能未被禁止7、防火墙体系结构7、防火墙体系结构7、防火墙体系结构屏蔽子网体系结构7.1周边网络7.2堡垒主机除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VP