信息安全 第11章防火墙

第11章 防火墙

主要内容防火墙的原理 11.2 防火墙的分类 11.3 防火墙技术 11.4 防火墙的体系结构 11.5 防火墙的局限性 11.1

为什么需要防火墙Internet的开放性导致网络安全威胁无处不在未授权资源访问 ARP攻击泛滥 拒绝服务攻击 各种协议漏洞攻击 Internet 非法资源访问 …… 没有防火墙的 Internet千疮百孔

11.1 防火墙的原理 Willam

Cheswick和 steven Beellovin:防火 墙是位于两个(或多个)网络间，实施网间 访问控制的一组组件的集合，它满足以下条 件： 内部和外部之间的所有网络数据流必须经过防火

墙； 有符合安全政策的数据流才能通过防火墙； 防火墙自身能抗攻击。

防火墙可以是在可信任网络和不可信任网络

之间的一个缓冲系统，它可以是一台有访问 控制策略的路由器，或者一台多个网络接口 的计算机、也可以是安装在某台特定机器上 的软件。它被配置成保护指定网络，使其免 受来自于非信任网络区域的某些协议与服务 的影响。内部网络 外部网络

防火墙

防火墙的基本功能 服务控制：确定哪些服务可以被访问； 方向控制：对于特定的服务，可以确定允许

哪个方向能够通过防火墙； 用户控制：根据用户来控制对服务的访问； 行为控制：控制一个特定的服务的行为。

防火墙在网络中的位置

防火墙多应用于一个局域网的出口处 (如图(a)所示)或置于两个网络中间 (如图(b)所示)。

防火墙在网络中的位置

安全域—为什么需要安全域？

传统防火墙通常都基于接口进行策略配置，网络管理员 需要为每一个接口配置安全策略。 防火墙的端口朝高密度方向发展，基于接口的策略配置 方式给网络管理员带来了极大的负担，安全策略的维护 工作量成倍增加，从而也增加了因为配置引入安全风险 的概率。配置维护 太复杂了！教学楼 #1 教学楼 #2 教学楼 #3 服务器群 办公楼 #1

办公楼 #2实验楼 #1 实验楼 #2 宿舍楼 Internet

安全域—什么是安全域？ 将安全需求相同的接口划分到不同的域，

实现策略的分层管理。Trust教学楼办公楼 实验楼 宿舍楼Internet

防火墙

Untrust

配置维护 简单多了！

DMZWeb服务器 FTP服务器 邮件服务器

打印服务器

信赖域和非信赖域 2. 信赖主机和非信赖主机 3、DMZ DMZ(Demilitarized zone)称为“隔离 区”或“非军事化区”,它是介于信赖域和 非信赖域之间的一个安全区域。 1.

安全域—域间策略DMZ

Trust区域的市场部门员工在上班时 间可以访问Internet Untrust区域在任何时候都不允许访 问DMZ区域的邮件服务器 Trust区域的研发

部门员工在任何时 候都可以访问DMZ区域的Web服务器

Trust市场部门 129.111.0.0/16

Web Server Mail Server

UntrustInternet 研发部门 129.112.0.0/16Source Zone Trust Trust Untrust Trust Destination Zone Untrust Untrust DMZ DMZ Source IP/Mask 129.111.0.0/16 any any 129.112.0.0/16

防火墙 域间策略Destination IP/Mask any any Service any any MAILHTTP/HTTPS

Time Range每周一到周五 的8:30到18:00

Action permit deny deny permit

any any any

使用防火墙后的网络组成

防火墙的实施策略 一切未被禁止的就是允许的(Yes规则) 确定那些被认为是不安全的服务，禁止其访问；

而其他服务则被认为是安全的，允许访问。 一切未被允许的就是禁止的(No规则) 确定所有可以被提供的服务以及它们的安全性，

然后开放这些服务，并将所有其他未被列入的服 务排除在外，禁止访问。

11.2 防火墙的分类 根据防火墙形式分类 根据实现原理分类 根据防火墙结构分类 按照防火墙应用部署分类

根据防火墙形式分类

软件防火墙 运行于特定的计算机上，它需要客户预先安装好的计

算机操作系统的支持

硬件防火墙 基于PC架构，运行一些经过裁剪和简化的操作系统，

一般至少应具备三个端口

芯片级防火墙 专有的ASIC芯片，速度更快，处理能力更强，性能更

高，专用操作系统，价格相对比较高昂

根据实现原理分类 包过滤(Packet

Filtering)型

工作在OSI网络参考模型的网络层和传输层，根据数据包

头源地址、目的地址、端口号和协议类型等标志确定是 否允许通过。 应用代理(Application

Proxy)型

工作在OSI的最高层，即应用层。其特点是完全“阻隔”

了网络通信流，通过对每种应用服务编制专门的代理程 序，实现监视和控制应用层通信流的作用。

根据防火墙结构分类

单一主机防火墙 最为传统的防火墙，独立于其它网络设备，位于网络边界。一般都

集成了两个以上的以太网卡，连接一个以上的内、外部网络。

路由器集成式防火墙 在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系

列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同 时购买路由器和防火墙

分布式防火墙 由多个软、硬件组成的系统。渗透于网络的每一台主机，对整个内

部网络的主机实施保护。在网络服务器中，通常会安装一个用于防 火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI 防火墙卡 ，一块防火墙卡同时兼有网卡和防火墙的双重功能。这样 一个防火墙系统就可以彻底保护内部网络。

按照防火

墙应用部署分类

边界防火墙 位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，

保护边界内部网络。一般都是硬件类型

个人防火墙 安装于单台主机中。应用于广大的个人用户，通常为软件防火墙，

价格最便宜，在功能上有很大的限制。

混合式防火墙 是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外

部网络边界和内部各主机之间，既对内、外部网络之间通信进行过 滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙 技术之一，性能最好，价格也最贵。

11.3 防火墙技术 数据包过滤

代理服务

数据包过滤技术什么是包过滤？ 包过滤是访问控制技术的一种，对于需要转发的数据包，首 先获取包头信息(包括源地址、目的地址、源端口和目的端 口等),然后与设定的策略进行比较，根据比较的结果对数 据包进行相应的处理(允许通过或直接丢弃)。 数据包过滤原理 在网络的适当位置，根据系统设置的过滤规则。对数据包实 施过滤，只允许满足过滤规则的数据包通过并被转发到目的 地，而其他不满足规则的数据包被丢弃。 包过滤技术出现了两种不同版本，称为“静态包过滤”和“动态包

过滤”。

包过滤防火墙工作示意图

本文来源：https://www.bwwdw.com/article/h714.html