防火墙与入侵检测技术解析.ppt

第5章　防火墙与入侵检测技术 5.1　防火墙概述 5.1.1　防火墙的概念 1．防火墙的定义 防火墙是指隔离本地网络与外界网络之间的一道防御系统。 2．使用防火墙的目的： （1）限制访问者进入被严格控制的点。 （2）防止侵入者接近内部设施。 （3）限制访问者离开被严格控制的点，有效的保护内部资源。 （4）检查、过滤和屏蔽有害的服务。 3．防火墙的特征 典型的防火墙具有以下三个方面的基本特性： （1）所有进出网络的数据流都必须经过防火墙 （2）只有符合安全策略的数据流才能通过防火墙 （3）防火墙自身应具有非常强的抗攻击的能力 5.1.2　防火墙的功能 1．防火墙的基本功能 （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄 2．防火墙增值功能 （1）内容过滤 （2）虚拟专用网络（VPN）。 （3）网络地址转换（NAT）。 （4）负载均衡。 （5）故障忍耐。 （6）入侵检测。 5.2　防火墙技术 5.2.1　防火墙的类型 1．数据包过滤型防火墙 数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。 所根据的信息来源于IP、TCP或UDP包头。 2．应用级网关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 3. 代理服务器型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由代理服务器上代理程序来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。 4. 复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒主机成为Internet上其它节点所能到达的惟一节点，这确保了内部网络不受未授权外部用户的攻击。 屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。 5.2.2　防火墙的主要技术 1．包过滤技术 （1）