第九章　防火墙技术 9.1　防火墙技术概述 9.2　防火墙技术 9.3　防火墙设计实例

本章学习目标 （1）了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 （2）掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式；熟悉防火墙的常见体系结构。 （3）熟悉防火墙的产品选购和设计策略。 返回本章首页

9.1 防火墙技术概述 9.1.1 防火墙的定义 9.1.2 防火墙的发展简史 9.1.3 设置防火墙的目的和功能 9.1　防火墙技术概述 9.1.1　防火墙的定义 9.1.2　防火墙的发展简史 9.1.3　设置防火墙的目的和功能 9.1.4　防火墙的局限性 9.1.5　防火墙技术发展动态和趋势 返回本章首页

9.1.1　防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。图9.1为防火墙示意图。

图9.1　防火墙示意图 返回本节

9.1.2 防火墙的发展简史 第一代防火墙：采用了包过滤（Packet Filter）技术。 9.1.2　防火墙的发展简史 第一代防火墙：采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。 第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。

图9.2　防火墙技术的简单发展历史 返回本节

9.1.3 设置防火墙的目的和功能 （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 9.1.3　设置防火墙的目的和功能 （1）防火墙是网络安全的屏障 （2）防火墙可以强化网络安全策略 （3）对网络存取和访问进行监控审计 （4）防止内部信息的外泄 返回本节

9.1.4 防火墙的局限性 （1）防火墙防外不防内。 （2）防火墙难于管理和配置，易造成安全漏洞。 9.1.4　防火墙的局限性 （1）防火墙防外不防内。 （2）防火墙难于管理和配置，易造成安全漏洞。 （3）很难为用户在防火墙内外提供一致的安全策略。 （4）防火墙只实现了粗粒度的访问控制。 返回本节

9.1.5 防火墙技术发展动态和趋势 （1）优良的性能 （2）可扩展的结构和功能 （3）简化的安装与管理 （4）主动过滤 9.1.5　防火墙技术发展动态和趋势 （1）优良的性能 （2）可扩展的结构和功能 （3）简化的安装与管理 （4）主动过滤 （5）防病毒与防黑客 返回本节

9.2　防火墙技术 9.2.1　防火墙的技术分类 9.2.2　防火墙的主要技术及实现方式 9.2.3　防火墙的常见体系结构 返回本章首页

9.2.1　防火墙的技术分类 1．包过滤防火墙 2．代理防火墙 3．两种防火墙技术的对比

1．包过滤防火墙 （1）数据包过滤技术的发展：静态包过滤、动态包过滤。 （2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。

（3）包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差 ；数据包工具存在很多局限性。

图9.3　包过滤处理

图9.4　静态包过滤防火墙

图9.5　动态包过滤防火墙

2．代理防火墙 （1）代理防火墙的原理： 代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图9.6所示。

（2）应用层网关型防火墙： 主要保存Internet上那些最常用和最近访问过的内容：在Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。应用层网关的工作原理如图9.7所示。应用层网关防火墙最突出的优点就是安全，缺点就是速度相对比较慢。

（3）电路层网关防火墙 在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图9.8所示。电路层网关防火墙的工作原理如图9.9所示电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。

（4）代理技术的优点 1）代理易于配置。 2）代理能生成各项记录。 3）代理能灵活、完全地控制进出流量、内容。 4）代理能过滤数据内容。 5）代理能为用户提供透明的加密机制。 6）代理可以方便地与其他安全手段集成。

（5）代理技术的缺点 1）代理速度较路由器慢。 2）代理对用户不透明。 3）对于每项服务代理可能要求不同的服务器。 4）代理服务不能保证免受所有协议弱点的限制。 5）代理不能改进底层协议的安全性。

图9.6　代理的工作方式

图9.7　应用层网关防火墙

图9.8　电路层网关

图9.9　电路层网关防火墙

3．两种防火墙技术的对比 表9.1　两种防火墙技术 返回本节

9.2.2 防火墙的主要技术及实现方式 1．双端口或三端口的结构 2．透明的访问方式 3．灵活的代理系统 4．多级的过滤技术 9.2.2　防火墙的主要技术及实现方式 1．双端口或三端口的结构 2．透明的访问方式 3．灵活的代理系统 4．多级的过滤技术 5．网络地址转换技术（NAT） 6．网络状态监视器

7．Internet网关技术 8．安全服务器网络（SSN） 9．用户鉴别与加密 10．用户定制服务 11．审计和告警 12．应用网关代理

16．隔离域名服务器（Split Domain Name Sever） 13．回路级代理服务器 14．代管服务器 15．IP通道（IP Tunnels） 16．隔离域名服务器（Split Domain Name Sever） 17．邮件转发技术（Mail Forwarding） 返回本节

9.2.3 防火墙的常见体系结构 1．屏蔽路由器(如图9.10所示) 2．双穴主机网关(如图9.11所示) 9.2.3　防火墙的常见体系结构 1．屏蔽路由器(如图9.10所示) 2．双穴主机网关(如图9.11所示) 3．屏蔽主机网关(如图9.12所示) 4．被屏蔽子网(如图9.13所示)

图9.10　屏蔽路由器示意图

图9.11　双穴主机网关示意图

图9.12　屏蔽主机网关示意图

图9.13　被屏蔽子网防火墙示意图 返回本节

9.3 防火墙设计实例 9.3.1 防火墙产品选购策略 9.3.2 典型防火墙产品介绍 9.3.3 防火墙设计策略 9.3　防火墙设计实例 9.3.1　防火墙产品选购策略 9.3.2　典型防火墙产品介绍 9.3.3　防火墙设计策略 9.3.4　Windows 2000环境下防火墙及NAT的实现 返回本章首页

9.3.1 防火墙产品选购策略 1．防火墙的安全性 2．防火墙的高效性 3．防火墙的适用性 4．防火墙的可管理性 5．完善及时的售后服务体系 9.3.1　防火墙产品选购策略 1．防火墙的安全性 2．防火墙的高效性 3．防火墙的适用性 4．防火墙的可管理性 5．完善及时的售后服务体系 返回本节

9.3.2 典型防火墙产品介绍 1．3Com Office Connect Firewall 9.3.2　典型防火墙产品介绍 1．3Com Office Connect Firewall 新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。   Office Connect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击，它还可以限制局域网用户对Internet的不恰当使用。        

Office Connect Internet Firewall DMZ可支持多达100个局域网用户，这使局域网上的公共服务器可以被Internet访问，又不会使局域网遭受攻击。      3Com公司所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。它们使整个办公室可以共享ISP提供的一个IP地址，因而节省开支。

2．Cisco PIX防火墙 （1）实时嵌入式操作系统。 （2）保护方案基于自适应安全算法（ASA），可以确保最高的安全性。   （3）用于验证和授权的“直通代理”技术。    （4）最多支持250 000个同时连接。    （5） URL过滤。

（7）通过电子邮件和寻呼机提供报警和告警通知。 （6）HP Open View集成。 （7）通过电子邮件和寻呼机提供报警和告警通知。   （8）通过专用链路加密卡提供VPN支持。  （9）符合委托技术评估计划（TTAP），经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证（PIX520除外）。 返回本节

9.3.3　防火墙设计策略 1．防火墙的系统环境 取消危险的系统调用；限制命令的执行权限；取消IP的转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核等等。

2．设置防火墙的要素 高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。

3．服务访问策略 允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。

4．防火墙设计策略 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。 返回本节

9.3.4 Windows 2000环境下防火墙及NAT的实现 1．实现方法 通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测，可以启用Microsoft Proxy Server的动态包过滤功能和IP分段过滤，达到端口隐形的效果。

2．案例环境 假定有一台Web服务器（WWW），地址为10.1.0.20，其完整域名为：www.target.com，对应解析的IP地址为192.168.0.10，，在其上装有两块网卡，命名为本地连接1和本地连接2，它们的IP地址分别为：10.1.0.1和192.168.0.9。

3．MS Windows 2000 NAT网络地址转换的实现 （1）路由和远程访问服务 （2）网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。

表9.2　地址和特殊端口配置

表9.3　内部地址欺骗过滤配置

表9.4　外部地址欺骗过滤配置

4．MS Proxy Server动态包过滤和反向代理

图9.14　Proxy Server功能的配置界面

表9.5　一条记录条目的说明

表9.6　动态包过滤规则 返回本节

THANK YOU VERY MUCH ！ 本章到此结束， 谢谢您的光临！ 结束放映 返回本章首页