知识回顾,上一章中介绍了哪两种网络安全协议？ SSL的体系结构中包含了哪些协议？ IPSec架构中包含了哪两个重要的协议？ IPSec协议的两种工作模式是什么？ 已经学习了哪些保障信息安全的技术？,ESP协议，实现保密性、完整性、抗重放攻击 AH协议，实现完整性、抗重放攻击,传输模式，隧道模式,三只小猪的故事,现代信息安全技术,防火墙,核心防护,病毒检测,入侵检测,第七章 防火墙与反病毒技术,防火墙的概述,什么是防火墙 防火墙的发展历史 防火墙的几种类型,什么是防火墙,不可信用户,？,什么是防火墙,定义 防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合。 它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫（不受各种攻击的影响） 核心思想 在不安全的网际网环境中构造一个相对安全的子网环境,什么是防火墙,功能 网络安全的屏障 过滤不安全的服务：（两层含义） 内部提供的不安全服务 内部访问外部的不安全服务 集中式安全保护 阻断特定的网络攻击；（联动技术的产生） 是监视局域网安全和预警的方便端点 提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。,防火墙的发展历史,1986年，美国digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念。 防火墙的发展大致可划分为4个阶段,防火墙的发展历史,第一代防火墙 基于路由器的防火墙 网络访问控制功能通过路由控制来实现 特点 以访问控制表方式实现对分组的过滤 过滤判决的依据可以是地址、端口号、IP标志等 只有分组过滤功能 缺点 路由协议本身就具有安全漏洞，外部网络要探测内部网络十分容易 路由器上分组过滤规则的设置和配置存在安全隐患,只是一种应急措施,防火墙的发展历史,第二代防火墙 用户化防火墙工具套 特点 将过滤功能从路由器中独立出来，并加上审计和告警功能 针对用户需求，提供模块化的软件包 软件可通过网络发送，用户可自己动手构造防火墙 存在的问题 配置和维护过程复杂、费时 对用户的技术要求高 全软件实现，安全性和处理速度均有局限 实践表明，使用中出现差错的情况很多,防火墙的发展历史,第三代防火墙 建立在通用操作系统上的商用防火墙产品 特点 批量上市的专用防火墙 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统，监控所有协议的数据和指令 保护用户编程空间和用户配置内核参数的设置 安全性和速度大为提高,防火墙的发展历史,第三代防火墙 存在的问题 作为基础的操作系统及其内核往往不为防火墙管理者所知。由于源码的保密，其安全性无从保证 由于大多数防火墙厂商并非是通用操作系统的厂商，通用操作系统厂商不会对防火墙中使用的操作系统的安全性负责 用户必须依赖两方面的安全支持；一是防火墙厂商；二是操作系统厂商,防火墙的发展历史,第四代防火墙 具有安全操作系统的防火墙 特点 防火墙厂商具有操作系统的源代码，并可实现安全内核 对安全内核实现加固定处理。即去掉不必要的系统特性，加上内核特性，强化安全保护 对每个服务器、子系统都作安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其他部分构成威胁 在功能上包括分组过滤、应用网关、电路级网关，且具有加密与认证功能 透明性好，易使用,防火墙的几种类型,分组过滤防火墙 又称包过滤防火墙或屏蔽路由器 通过检查经过路由器的数据包源地址、目的地址、TCP端口、UDP端口等参数，并由策略决定是否允许该数据包通过，并对其进行路由选择转发。,屏蔽路由器,内部网络,防火墙的几种类型,分组过滤防火墙 特点 屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。 实现IP层的安全 缺点 在主机上实现，是网络中的“单失效点” 不支持有效的用户认证，不提供有用的日志，安全性低 存在难以调和的矛盾,防火墙的几种类型,双宿主机防火墙 这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡分别与内部网和外部网相连。堡垒主机运行着防火墙软件，可以转发应用程序，提供服务等 采用代理服务的方法 堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等,双宿主机防火墙堡垒主机的作用 阻止IP层通信 实现应用层安全 中间转接作用,防火墙的几种类型,内部网络,堡垒主机,防火墙的几种类型,双宿主机防火墙 优缺点 堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计 仍然是“单失效点” 隔离了一切内部网域Inernet的直接连接 代表产品：ISA防火墙 Microsoft Internet Security and Acceleration Server (简称为ISA)，目前最新版为2006,不适合于一些高灵活性要求,防火墙的几种类型,屏蔽主机防火墙 分组过滤路由器连接外部网络 运行网关软件的堡垒主机安装在内部网路 提供了较高的安全等级 过滤路由器是否正确配置，是防火墙安全与否的关键 路由表应受到严格保护,IP层安全,应用层安全,防火墙的几种类型,屏蔽子网 最安全的防火墙系统,DMZ区,防火墙的几种类型,屏蔽子网 在内部网络和外部网络之间建立一个被隔离的子网（非军事区，Demilitarized Zone，DMZ） 在很多实现中，两个分组过滤路由器放在子网的两端，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信 通常将堡垒主机、各种信息服务器等公用服务器放于DMZ中 堡垒主机通常是黑客集中攻击的目标，如果没有DMZ，入侵者将可以监听整个内部网络,小结,防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合。 防火墙经历了四个发展阶段 防火墙常见的四种类型,思考题,防火墙有哪些局限性？,