清华版网络安全教案第8章
第8章 防火墙 章
8.1 8.2 8.3 8.4 8.5
防火墙的原理 防火墙技术 防火墙体系结构 堡垒主机 数据包过滤
8.6 状态检测的数据包过滤 8.7 防火墙的发展趋势 8.8 本章小结 习题邓紫棋林宥嘉分手
8.1 防火墙的原理8.1.1 防火墙的概念防火墙是络边界上的过滤封锁机制, 防火墙是建立在内外网络边界上的过滤封锁机制, 内部网络被认为是安全和可信赖的, 内部网络被认为是安全和可信赖的,而外部网络 通常是Internet)被认为是不安全和不可信赖的。 (通常是 )被认为是不安全和不可信赖的。 防火墙的作用是防止不希望的、 防火墙的作用是防止不希望的、未经授权的通信进 出被保护的内部网络, 出被保护的内部网络,通过边界控制强化内部网络 的安全政策。防火墙在网络中的位置如图8.1所示 所示。 的安全政策。防火墙在网络中的位置如图 所示。
图8.1 防火墙在网络中的位置
防火墙通常是运行在一台或者多台计算机之上的一 组特别的服务软件, 组特别的服务软件,用于对网络进行防护和通信控 制。但是在很多情况下防火墙以专门的硬件形式出 这种硬件也被称为防火墙, 现,这种硬件也被称为防火墙,它是安装了防火墙 软件,并针对安全防护进行了专门设计的网络设备, 软件,并针对安全防护进行了专门设计的网络设备, 本质上还是软件在进行控制。 本质上还是软件在进行控制。 如果没有防火墙, 如果没有防火墙,则整个内部网络的安全性完全依 赖于每个主机,因此,所有的主机都必须共同达到 赖于每个主机,因此, 一致的高度安全水平。也就是说, 一致的高度安全水平。也就是说,网络的安全水平 是由最低的那个安全水平的主机决定的, 是由最低的那个安全水平的主机决定的,这就是所 谓的“木桶原理” 谓的“木桶原理”,木桶能装多少水由最低的地方 决定。网络越大, 决定。网络越大,对主机进行管理使它们达到统一 的安全级别水平就越不容易。 的安全级别水平就越不容易。
边境犬 防火墙隔离了内部网络和外部网络, 防火墙隔离了内部网络和外部网络,它被设计为只 运行专用的访问控制软件的设备, 运行专用的访问控制软件的设备,而没有其他的服 因此也就意味着相对少一些缺陷和安全漏洞。 务,因此也就意味着相对少一些缺陷和安全漏洞。 此外,防火墙也改进了登录和监测功能, 此外,防火墙也改进了登录和监测功能,从
而可以 进行专用的管理。如果采用了防火墙, 进行专用的管理。如果采用了防火墙,内部网络中 的主机将不再直接暴露给来自Internet的攻击。因 的攻击。 的主机将不再直接暴露给来自 的攻击 此
,对整个内部网络的主机的安全管理就变成了防 火墙的安全管理,这样就使安全管理变得更为方便, 火墙的安全管理,这样就使安全管理变得更为方便, 易于控制,也会使内部网络更加安全。 易于控制,也会使内部网络更加安全。 防火墙一般安放在被保护网络的边界, 防火墙一般安放在被保护网络的边界,必须做到以 下几点,才能使防火墙起到安全防护的作用: 下几点,才能使防火墙起到安全防护的作用:舒淇 英文名
(1) 所有进出被保护网络的通信必须通过防火墙。 ) 所有进出被保护网络的通信必须通过防火墙。 (2) 所有通过防火墙的通信必须经过安全策略的 ) 过滤或者防火墙的授权。 过滤或者防火墙的授权。 (3) 防火墙本身是不可被侵入的。 ) 防火墙本身是不可被侵入的。
釜山图书馆什么梗 总之, 总之,防火墙是在被保护网络和非信任网络之间进 行访问控制的一个或者一组访问控制部件。 行访问控制的一个或者一组访问控制部件。防火墙 是一种逻辑隔离部件,而不是物理隔离部件, 是一种逻辑隔离部件,而不是物理隔离部件,它所 遵循的原则是,
在保证网络畅通的情况下, 遵循的原则是,在保证网络畅通的情况下,尽可能 地保证内部网络的安全。 地保证内部网络的安全。防火墙是在已经制定好的 安全策略下进行访问控制, 安全策略下进行访问控制,所以一般情况下它是一 种静态安全部件,但随防火墙技术的发展, 种静态安全部件,但随防火墙技术的发展,防火墙 或通过与IDS(入侵检测系统)进行联动,或自身 或通过与 (入侵检测系统)进行联动, 集成IDS功能,将能够根据实际的情况进行动态的 功能, 集成 功能 策略调整。 策略调整。
8.1.2 防火墙的功能防火墙具有如下几个功能: 防火墙具有如下几个功能: (1) 访问控制功能。这是防火墙最基本也是最重 ) 访问控制功能。 要的功能,通过禁止或允许特定用户访问特定的资 要的功能, 保护网络的内部资源和数据。 源,保护网络的内部资源和数据。需要禁止非授权 的访问, 的访问,防火墙需要识别哪个用户可以访问何种资 源。
(2) 内容控制功能。根据数据内容进行控制,比 ) 内容控制功能。根据数据内容进行控制, 如防火墙可以从中过滤掉垃圾邮件, 如防火墙可以从中过滤掉垃圾邮件,可以 过滤掉内部用户访问外部服务的图片信息, 过滤掉内部用户访问外部服务的图片信息,也可以 限制外部访问,使它们只能访问本地Web服务器中 限制外部访问,使它们只能访问本地 服务器中 的一部分信息。 的一部分信息。简单的数据包过滤路由器不能实中秋国庆对联
李金铭男友金世佳 现 这样的功能, 这样的功能,但是代理服务器和先进的数据包过滤 技术可以做到。 技术可以做到。
(3) 全面的日志功能。防火墙的日志功能很重要。 ) 全面的日志功能。防火墙的日志功能很重要。 防火墙需要完整地记录网络访问情况, 防火墙需要完整地记录网络访问情况,包括内外网 进出的访问, 进出的访问,需要记录访问是什么时候进行了什么 操作,以检查网络访问情况。 操作,以检查网络访问情况。就如银行的录像监视 系统,记录下整体的营业情况,一旦有什么事发生, 系统,记录下整体的营业情况,一旦有什么事发生, 就可以看录像,查明事实。 就可以看录像,查明事实。防火墙的日志系统也有 类似的作用,一旦网络发生了入侵或者遭到破坏, 类似的作用,一旦网络发生了入侵或者遭到破坏, 就可以对日志进行审计和查询。 就可以对日志进行审计和查询。日志需要有全面的 记录和方便的查询。 记录和方便的查询。
(4) 集中管理功能。防火墙是一个安全设备,针 ) 集中管理功能。防火墙是一个安全设备, 对不同的网络情况和安全需要, 对不同的网络情况和安全需要,需要制定不同的安 全策略,然后在防火墙上实施, 全策略,然后在防火墙上实施,使用中还需要根据 情况改
变安全策略,而且在一个安全体系中, 情况改变安全策略,而且在一个安全体系中,防火 墙可能不止一台, 墙可能不止一台,所以防火墙应该是易于集中管理 这样管理员就可以很方便地实施安全策略。 的,这样管理员就可以很方便地实施安全策略。 (5) 自身的安全和可用性。防火墙要保证自身的 ) 自身的安全和可用性。 安全,不被非法侵入,保证正常的工作。如果防火 安全,不被非法侵入,保证正常的工作。 墙被侵入,防火墙的安全策略被修改, 墙被侵入,防火墙的安全策略被修改,这样内部网 络就变得不安全。防火墙也要保证可用性, 络就变得不安全。防火墙也要保证可用性,否则网 络就会中断,网络连接就失去意义。 络就会中断,网络连接就失去意义。
发布评论