第8章防火墻技術及應用安全目標:機密性,完整性,抗抵賴性,可用性密碼理論:數據加密,數字簽名,消息摘要,密鑰管理平臺安全:

物理安全

網絡安全系統安全

數據安全邊界安全用戶安全安全理論:

身份驗證

訪問控制審計追蹤安全協議安全技術:

防火墻技術

漏洞掃描技術入侵檢測技術防病毒技術安全管理安全標準安全策略安全評價安全監控1、什么是防火墻2、防火墻的作用

4、防火墻常見的幾種類型學習要點：

第8章防火墻技術及應用

5、如何在網絡中配置防火墻3、防火墻的技術§8.1防火墻技術概述§8.2防火墻的應用§8.3防火墻的基本類型§8.4個人防火墻技術§8.5關于實驗操作第8章防火墻技術及應用Internet兩個安全域之間信息流的唯一通道內部網根據訪問控制規則決定進出網絡的行為能根據有關的安全政策控制（允許、拒絕、監視、記錄、限流等）進出網絡的訪問行為。第8章防火墻技術及應用§8.1防火墻技術概述本節概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設計準則？§8.1防火墻技術概述8.1.1防火墻的基本概念

防火墻是一個或一組在兩個網絡之間執行訪問控制策略的系統，包括硬件和軟件，目的是保護網絡不被可疑人侵擾。本質上說，它遵從的是一種允許或阻止業務來往的網絡通信安全機制，也就是提供可控的過濾網絡通信，只允許授權的通信。邏輯上看：物理上看：防火墻是一個分離器、一個限制器、也是一個分析器，有效地監控內部網和Internet之間的任何活動，保證內部網絡的安全。防火墻通常是一組硬件設備（路由器、主機）和軟件的多種組合?！?.1防火墻技術概述8.1.1防火墻的基本概念高效的防火墻應符合如下特征：（1）防火墻是不同網絡之間，或網絡的不同安全域之間的唯一出入口，從里到外和從外到里的所有信息都必須通過防火墻；網絡邊界：即是采用不同安全策略的兩個網絡連接處，比如用戶網絡和因特網之間連接、和其他業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等?！?.1防火墻技術概述8.1.1防火墻的基本概念高效的防火墻應符合如下特征（續1）：（2）通過安全策略來控制不同網絡或網絡不同安全域之間的通信，只有本地安全策略授權的通信才允許通過；§8.1防火墻技術概述8.1.1防火墻的基本概念高效的防火墻應符合如下特征（續2）：（3）防火墻本身是免疫的，即防火墻本身具有較強的抗攻擊能力。防火墻自身應具有非常強的抗攻擊免疫力是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統外，再沒有其他應用程序在防火墻上運行。一般采用Linux、UNIX或FreeBSD系統作為支撐其工作的操作系統。第8章防火墻技術及應用§8.1防火墻技術概述本節概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設計準則？§8.1防火墻技術概述8.1.2防火墻的基本功能防火墻由于處于網絡邊界的特殊位置，因而被設計集成了非常多的安全防護功能和網絡連接管理功能。1）監控并限制訪問2）控制協議和服務3）保護內部網絡4）網絡地址轉換（NAT）5）虛擬專用網（VPN）6）日志記錄與審計基本功能§8.1防火墻技術概述8.1.2防火墻的基本功能1）監控并限制訪問

2）控制協議和服務3）保護內部網絡4）網絡地址轉換（NAT）5）虛擬專用網（VPN）6）日志記錄與審計針對網絡入侵的不安因素，防火墻通過采取控制進出內、外網絡數據包的方法，實時監控網絡上數據包的狀態，并加以分析和處理，及時發現存在的異常行為。采用兩種基本策略：即“黑名單”策略和“白名單”策略?！昂诿麊巍辈呗灾赋艘巹t禁止的訪問，其他都是允許的?！鞍酌麊巍辈呗灾赋艘巹t允許的訪問，其他都是禁止的?！?.1防火墻技術概述8.1.2防火墻的基本功能1）監控并限制訪問2）控制協議和服務3）保護內部網絡4）網絡地址轉換（NAT）5）虛擬專用網（VPN）6）日志記錄與審計針對網絡入侵的不安因素，防火墻對相關協議和服務進行控制使得只有授權的協議和服務才可以通過防火墻，從而大大降低了因某種服務和協議漏洞而引起不安全因素的可能性。如允許http協議利用TCP端口80進入網絡，而其他協議和端口將被拒絕。§8.1防火墻技術概述8.1.2防火墻的基本功能1）監控并限制訪問2）控制協議和服務3）保護內部網絡

4）網絡地址轉換（NAT）5）虛擬專用網（VPN）6）日志記錄與審計針對應用軟件和操作系統的漏洞或“后門”，防火墻采用了與受保護網絡的操作系統、應用軟件無關的體系結構，其自身建立在安全操作系統之上。同時，針對受保護的內部網絡。防火墻能夠及時發現系統中存在的漏洞，對訪問進行限制；防火墻可以屏蔽受保護網絡的相關信息。§8.1防火墻技術概述8.1.2防火墻的基本功能1）監控并限制訪問2）控制協議和服務3）保護內部網絡4）網絡地址轉換（NAT）5）虛擬專用網（VPN）6）日志記錄與審計防火墻擁有靈活的地址轉換NAT(NetworkAddressTransfer)能力。地址轉換用于使用保留IP地址的內部網用戶通過防火墻訪問公眾網中的地址時對源地址進行轉換，能有效地隱藏內部網絡的拓撲結構等信息。同時內部網用戶共享使用這些轉換地址，使用保留IP地址就可以正常訪問公眾網，有效地解決了全局IP地址不足的問題。NAT的作用緩解IP地址耗盡 節約公用IP地址保證內網穩定性隱藏內部網絡的細節§8.1防火墻技術概述8.1.2防火墻的基本功能4）網絡地址轉換（NAT）示意圖：Internet4HostA受保護網絡HostCHostD15防火墻Eth2：3Eth0：數據IP報頭數據IP報頭源地址：1目地址：4源地址：目地址：4§8.1防火墻技術概述8.1.2防火墻的基本功能1）監控并限制訪問2）控制協議和服務3）保護內部網絡4）網絡地址轉換（NAT）5）虛擬專用網（VPN）

6）日志記錄與審計虛擬專用網被定義為通過一個公共網絡（Internet）建立的一個臨時的和安全的連接，是一條穿過混亂的公用網絡的安全與穩定的隧道，它是對企業內部網的擴展。作為網絡特殊位置的防火墻應具有VPN的功能，以簡化網絡的配置與管理。關于VPN技術詳見第九章。§8.1防火墻技術概述8.1.2防火墻的基本功能1）監控并限制訪問2）控制協議和服務3）保護內部網絡4）網絡地址轉換（NAT）5）虛擬專用網（VPN）6）日志記錄與審計因為防火墻是所有進出信息必須通路，所以防火墻非常適用收集關于系統和網絡使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網絡和外部網絡之間進行記錄，對網絡存取訪問進行和統計。這樣網絡管理人員通過對統計結果的分析，掌握網絡運行狀態，進而更加有效地管理整個網絡?！?.1防火墻技術概述8.1.2防火墻的基本功能補充：防火墻的擴展功能：支持第三方認證服務器InternetRADIUS服務器OTP認證服務器Zhanglongyong

12354876防火墻將認證信息傳給真正的RADIUS服務器進行認證將認證結果傳給防火墻根據認證結果決定用戶對資源的訪問權限第8章防火墻技術及應用§8.1防火墻技術概述本節概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設計準則？§8.1防火墻技術概述8.1.3防火墻的基本原理應用層TCP層IP層網絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭10100100100101001000001110011110010010010100100000111001111不檢查數據區建立連接狀態表前后報文相關應用層控制很弱建立連接狀態表§8.1防火墻技術概述8.1.3防火墻的基本原理由上頁演示圖可知：所有的防火墻功能的實現都依賴于對通過防火墻的數據包的相關信息進行檢查，而且檢查的項目越多、層次越深，則防火墻越安全。由于現在計算機網絡結構采用自頂向下的分層模型，而分層的主要依據是各層的功能劃分，不同層次功能的實現又是通過相關的協議來實現的。所以，防火墻檢查的重點是網絡協議及采用相關協議封裝的數據。第8章防火墻技術及應用§8.1防火墻技術概述本節概要8.1.1

防火情的概念8.1.3防火墻的基本原理8.1.4

防火墻的基本準則8.1.2防火墻的基本功能它是什么？能做什么？如何工作？設計準則？§8.1防火墻技術概述8.1.4防火墻的基本準則作為可信賴的單位內網與不可信賴的外部網絡之間的連接節點，防火墻在安全功能上必遵循以下基本規則，也可稱之為“黑名單”規則和“白名單”規則。1．所有未被允許的就是禁止的所有未被允許的就是禁止的，這一準則是指根據用戶的安全管理策略，所有未被允許的通信禁止通過防火墻。2．所有未被禁止的就是允許的所有未被禁止的就是允許的，這一準則是指根據用戶的安全管理策略，防火墻轉發所有信息流，允許所有的用戶和站點對內部網絡的訪問，然后網絡管理員按照IP地址等參數對未授權的用戶或不信任的站點進行逐項屏蔽?！?.1防火墻技術概述8.1.5防火墻的性能指標（補充）常見防火墻性能指標吞吐量延時丟包率背靠背最大并發連接數最大連接建立速率§8.1防火墻技術概述1、吞吐量定義：在不丟包的情況下能夠達到的最大速率衡量標準：吞吐量作為衡量防火墻性能的重要指標之一,吞吐量小就會造成網絡新的瓶頸，以至影響到整個網絡的性能

~;%#@*$^&*&^#**(&Smartbits6000B測試儀101100101000011111001010010001001000以最大速率發包直到出現丟包時的最大值防火墻吞吐量小就會成為網絡的瓶頸100M60M§8.1防火墻技術概述2、延時數據包首先排隊待防火墻檢查后轉發定義：入口處輸入幀最后1個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔衡量標準：防火墻的時延能夠體現它處理數據的速度

10101001001001001010Smartbits6000B測試儀101100101000011111001010010001001000最后1個比特到達第一個比特輸出時間間隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成數據包延遲到達目標地§8.1防火墻技術概述3、丟包率定義：在連續負載的情況下，防火墻設備由于資源不足應轉發但卻未轉發的幀百分比衡量標準：防火墻的丟包率對其穩定性、可靠性有很大的影響

Smartbits6000B測試儀發送了1000個包防火墻由于資源不足只轉發了800個包丟包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001§8.1防火墻技術概述4、最大并發連接數定義：指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數。衡量標準：并發連接數的測試主要用來測試被測防火墻建立和維持TCP連接的性能。并發連接數指標可以用來衡量穿越防火墻的主機之間能同時建立的最大連接數并發連接并發連接§8.1防火墻技術概述5、最大連接建立速率定義：指穿越防火墻的主機之間或主機與防火墻之間單位時間內建立的最大連接數。衡量標準：最大并發連接數建立速率主要用來衡量防火墻單位時間內建立和維持TCP連接的能力并發連接并發連接單位時間內增加的并發連接數第8章防火墻技術及應用§8.1防火墻技術概述§8.2防火墻的應用§8.3防火墻的基本類型§8.4個人防火墻技術§8.5關于實驗操作Internet兩個安全域之間信息流的唯一通道內部網根據訪問控制規則決定進出網絡的行為能根據有關的安全政策控制（允許、拒絕、監視、記錄、限流等）進出網絡的訪問行為。本節概要8.2.1

防火墻在網絡中的位置8.2.2使用防火墻后網絡的組成8.2.3防火墻應用的局限性§8.2防火墻的應用第8章防火墻技術及應用在計算機網絡管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個相對安全的網絡環境。但并不是絕對安全，采用了防火墻的網絡仍然有一些安全漏洞和隱患。§8.2防火墻的應用8.2.1防火墻在網絡中的位置防火墻多應用于一個局域網的出口處或置于兩個網絡中間。且絕大多數的局域網與Internet相連時，一般在局域網中心交換機和路由器之間放置防火墻，以保證局域網資源的安全。根據應用的不同，防火墻一般分為路由模式和透明模式兩類。透明模式防火墻：§8.2防火墻的應用8.2.1防火墻在網絡中的位置路由模式防火墻（“不透明”式防火墻）：存在兩個局限：（1）防火墻各端口所連接的網絡必須位于不同的網段，否則兩個網絡之間將無法進行通信。（2）與防火墻直接連接的設備（計算機、路由器或交換機）的網關都要指向防火墻。注意：透明式防火墻不存在上述的局限。目前主流的防火墻產品同時支持上述兩種模式的防火墻。本節概要8.2.1

防火墻在網絡中的位置8.2.2使用防火墻后網絡的組成8.2.3防火墻應用的局限性§8.2防火墻的應用第8章防火墻技術及應用在計算機網絡管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個相對安全的網絡環境。但并不是絕對安全，采用了防火墻的網絡仍然有一些安全漏洞和隱患?！?.2防火墻的應用8.2.2使用防火墻后的網絡組成如下，一個一般的局域網與Internet互聯：安全威脅整個網絡不安全+會發生什么§8.2防火墻的應用8.2.2使用防火墻后的網絡組成如下，一個一般的局域網+防火墻與Internet互聯：信賴域安全域，DMZ非信賴域§8.2防火墻的應用8.2.2使用防火墻后的網絡組成信賴域安全域（DMZ）非信賴域1．信賴域和非信賴域當局域網通過防火墻接入公共網絡時，以防火墻為節點將網絡分為內、外兩部分，其中內部的局域網稱為信賴域，而外部的公共網絡（如Internet）稱為非信賴域。2．信賴主機和非信賴主機位于信賴域中的主機因為具有較高的安全性，所以稱為信賴主機；而位于非信賴域中的主機因為安全性較低，所以稱為非信賴主機?！?.2防火墻的應用8.2.2使用防火墻后的網絡組成信賴域安全域（DMZ）非信賴域3．DMZ區

DMZ(demilitarizedzone)稱為“隔離區”或“非軍事化區”，它是介于信賴域和非信賴域之間的一個安全區域。DMZ是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，§8.2防火墻的應用8.2.2使用防火墻后的網絡組成合理劃分網絡,設置訪問控制點,保護私有網絡.防止進攻者接近內部網絡限制內部用戶的外部訪問行為對外部隱藏內部網絡細節提供內部網絡和外部網絡的連通OutsideWorldPrivateNetworkUnsolicitedRequestResponseDisallowed幾個數字：30%：CERNET出口正常向國外訪問流量占其帶寬的30%90%：受沖擊波影響，CERNET出口流量占其帶寬的90%10:1：受沖擊波影響，CERNET出口ICMP包與其他包的比為10：1幾近癱瘓……防火墻越來越重要!本節概要8.2.1

防火墻在網絡中的位置8.2.2使用防火墻后網絡的組成8.2.3防火墻應用的局限性§8.2防火墻的應用第8章防火墻技術及應用在計算機網絡管理中，防火墻是一種非常有效的安全解決方案，它可以為用戶提供一個相對安全的網絡環境。但并不是絕對安全，采用了防火墻的網絡仍然有一些安全漏洞和隱患?！?.2防火墻的應用8.2.3防火墻應用局限防火墻雖是目前應用最為廣泛，同時也是最有效的網絡安全技術，但它并不是全能的，存在有局限，主要表現為：1．防火墻不能防范未通過自身的網絡連接對于有線網絡來說，防火墻是進出網絡的唯一節點。但是如果使用無線網絡（如無線局域網），內部用戶與外部網絡之間以及外部用戶與內部網絡之間的通信就會繞過防火墻，這時防火墻就沒有任何用處。2．防火墻不能防范全部的威脅防火墻安全策略的制定建立在已知的安全威脅上，所以防火墻能夠防范已知的安全威脅?！?.2防火墻的應用8.2.3防火墻應用局限防火墻雖是目前應用最為廣泛，同時也是最有效的網絡安全技術，但它并不是全能的，存在有局限，主要表現為：3．防火墻不能防止感染了病毒的軟件或文件的傳輸4．防火墻不能防范內部用戶的惡意破壞據相關資料統計，目前局域網中有80%以上的網絡破壞行為是由內部用戶所為，如在局域網中竊取其他主機上的數據、對其他主機進行網絡攻擊、散布計算機病毒等。這些行為都不通過位于局域網出口處的防火墻，防火墻對其無能為力?！?.2防火墻的應用8.2.3防火墻應用局限防火墻雖是目前應用最為廣泛，同時也是最有效的網絡安全技術，但它并不是全能的，存在有局限，主要表現為：5．防火墻本身也存在安全問題防火墻的工作過程要依賴于防火墻操作系統，與我們平常所使用的Windows、Linux等操作系統一樣，防火墻操作系統也存在安全漏洞，而且防火墻的功能越強、越復雜，其漏洞就會越多。6．認為因素在很大程度影響了防火墻的功能做和管理防火墻的人：了解用戶的安全需求？知識水平如何？對內部網絡的安全需求？管理水平？防火墻產品的熟悉程度等？都影響著防火墻的功能！第8章防火墻技術及應用§8.1防火墻技術概述§8.2防火墻的應用§8.3防火墻的基本類型§8.4個人防火墻技術§8.5關于實驗操作Internet兩個安全域之間信息流的唯一通道內部網根據訪問控制規則決定進出網絡的行為能根據有關的安全政策控制（允許、拒絕、監視、記錄、限流等）進出網絡的訪問行為。

第8章防火墻技術及應用§8.3防火墻的基本類型

在防火墻的整體概念的基礎上，細化對防火墻技術的深入了解，一定要進行防火墻的分類。本節從防火墻體系結構入手，對防火墻進行分類，同時簡要的介紹防火墻在不同結構類型的情況下如何工作。本節概要8.3.1

包過濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態檢測防火墻§8.3防火墻的基本類型8.3.1包過濾防火墻包過濾防火墻是最早使用的一種防火墻技術，它在網絡的進出口處對通過的數據包進行檢查，并根據已設置的安全策略決定數據包是否允許通過。包過濾型防火墻的核心技術就是安全策略設計即包過濾算法的設計。

1、IP包（IP分組）IP頭部（分組過防火墻是只檢查IP及TCP頭部）§8.3防火墻的基本類型8.3.1包過濾防火墻2、包過濾防火墻的工作原理應用層表示層會話層傳輸層網絡層鏈路層物理層應用層表示層會話層傳輸層網絡層鏈路層物理層網絡層鏈路層物理層包過濾是在網絡層中根據事先設置的安全訪問策略（過濾規則），檢查每一個數據包的源IP地址、目的IP地址以及IP分組頭部的其他各種標志信息（如協議、服務類型等），確定是否允許該數據包通過防火墻。包過濾防火墻工作在OSI模型的IP和TCP層缺點：安全性低不能根據狀態信息進行控制僅處理網絡層的信息伸縮性差維護不直觀優點：速度快，性能高對應用程序透明§8.3防火墻的基本類型8.3.1包過濾防火墻2、包過濾防火墻的工作原理包過濾模型工作過程當網絡管理員在防火墻上設置了過濾規則后，在防火墻中會形成一個過濾規則表。當數據包進入防火墻時，防火墻會將IP分組的頭部信息與過濾規則表進行逐條比對，根據比對結果決定是否允許數據包通過?！?.3防火墻的基本類型8.3.1包過濾防火墻3、包過濾防火墻的應用特點（1）過濾規則表需要事先進行人工設置，規則表中的條目根據用戶的安全要求來定。（2）防火墻在進行檢查時，首先從過濾規則表中的第1個條目開始逐條進行，所以過濾規則表中條目的先后順序非常重要。（3）由于包過濾防火墻工作在OSI參考模型的網絡層和傳輸層，所以包過濾防火墻對通過的數據包的速度影響不大，實現成本較低。但無法識別IP欺騙和基于應用層的入侵。

第8章防火墻技術及應用§8.3防火墻的基本類型本節概要8.3.1

包過濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態檢測防火墻

在防火墻的整體概念的基礎上，細化對防火墻技術的深入了解，一定要進行防火墻的分類。本節從防火墻體系結構入手，對防火墻進行分類，同時簡要的介紹防火墻在不同結構類型的情況下如何工作?！?.3防火墻的基本類型8.3.2代理防火墻代理技術也稱為應用層網關技術，代理技術與包過濾技術完全不同，包過濾技術是在網絡層攔截所有的信息流，代理技術是針對每一個特定應用都有的一個程序。應用代理型防火墻(ApplicationProxy)是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用?！?.3防火墻的基本類型8.3.2代理防火墻1、代理防火墻的工作原理應用層表示層會話層傳輸層網絡層鏈路層物理層應用層表示層會話層傳輸層網絡層鏈路層物理層應用層表示層會話層傳輸層網絡層鏈路層物理層FTPHTTPSMTP缺點：性能差伸縮性差只支持有限的應用不透明工作在優點：安全性高

提供應用層的安全§8.3防火墻的基本類型8.3.2代理防火墻應用層TCP層IP層網絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數據10100100100101001000001110011110010010010100100000111001111不檢查IP報頭不建立連接狀態表網絡層保護比較弱原理示意圖§8.3防火墻的基本類型8.3.2代理防火墻1、代理防火墻的工作原理（續）從上圖看，代理防火墻具有傳統的代理服務器和防火墻的雙重功能。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器僅是一臺客戶機。§8.3防火墻的基本類型8.3.2代理防火墻2、代理防火墻的應用特點代理防火墻具有以下的主要特點：（1）代理防火墻可以針對應用層進行檢測和掃描，可有效地防止應用層的惡意入侵和病毒。（2）代理防火墻具有較高的安全性。由于每一個內外網絡之間的連接都要通過代理服務器的介入和轉換，而且在代理防火墻上會針對每一種網絡應用（如HTTP）使用特定的應用程序來處理?！?.3防火墻的基本類型8.3.2代理防火墻2、代理防火墻的應用特點代理防火墻具有以下的主要特點：（3）代理服務器通常擁有高速緩存，緩存中保存了用戶最近訪問過的站點內容。（4）代理防火墻的缺點是對系統的整體性能有較大的影響，系統的處理效率會有所下降，因為代理型防火墻對數據包進行內部結構的分析和處理，這會導致數據包的吞吐能力降低（低于包過濾防火墻）

第8章防火墻技術及應用§8.3防火墻的基本類型

在防火墻的整體概念的基礎上，細化對防火墻技術的深入了解，一定要進行防火墻的分類。本節從防火墻體系結構入手，對防火墻進行分類，同時簡要的介紹防火墻在不同結構類型的情況下如何工作。本節概要8.3.1

包過濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態檢測防火墻§8.3防火墻的基本類型8.3.3狀態檢測防火墻狀態檢查技術能在網絡層實現所有需要的防火墻能力，它既有包過濾機制的速度和靈活，也有應用級網關安全的優點，它是包過濾器和應用級網關功能的折衷。這是繼“包過濾”技術和“應用代理”技術后發展的防火墻技術，它是checkpoint技術公司率先提出，又稱“動態包過濾”。1、靜態包過濾的缺陷由于靜態包過濾技術要檢查進入防火墻的每一個數據包，所以在一定程序上影響了網絡的通信速度。另外，靜態包過濾技術固定地根據包的頭部信息進行規則的匹配，這種方法在遇到利用動態端口的應用協議時就會出現問題?！?.3防火墻的基本類型8.3.3狀態檢測防火墻應用層表示層會話層傳輸層網絡層鏈路層物理層應用層表示層會話層傳輸層網絡層鏈路層物理層應用層表示層會話層傳輸層網絡層鏈路層物理層安全性高能夠檢測所有進入防火墻網關的數據包根據通信和應用程序狀態確定是否允許包的通行性能高：在數據包進入防火墻時就進行識別和判斷伸縮性好可以識別不同的數據包支持多種應用，包括Internet應用、數據庫應用、多媒體應用等用戶可方便添加新應用抽取各層的狀態信息建立動態狀態表§8.3防火墻的基本類型8.3.3狀態檢測防火墻應用層TCP層IP層網絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭10100100100101001000001110011110010010010100100000111001111不檢查數據區建立連接狀態表前后報文相關應用層控制很弱建立連接狀態表§8.3防火墻的基本類型8.3.3狀態檢測防火墻2、狀態檢測技術及優勢狀態檢測技術即動態包過濾技術。狀態檢測防火墻檢查的不僅僅是數據包中的頭部信息，而且會跟蹤數據包的狀態，即不同數據包之間的共性。雖然，該技術和簡單包過濾技術一樣，都是只檢驗頭部，但本技術要建立連接的。狀態檢測防火墻的關鍵技術是連接的跟蹤功能。在網絡層攔截輸入包，并利用足夠的企圖連接的狀態信息作出決策。使用各種狀態表（statetables）來追蹤活躍的TCP會話。由用戶定義的訪問控制列表（ACL）決定允許建立哪些會話（session），只有與活躍會話相關聯的數據才能穿過防火墻。§8.3防火墻的基本類型8.3.3狀態檢測防火墻3、狀態檢測防火墻的工作過程在狀態檢測防火墻中有一個狀態檢測表，它由規則表和連接狀態表兩部分組成。狀態檢測防火墻的工作過程是：首先利用規則表進行數據包的過濾，此過程與靜態包過濾防火墻基本相同。如果某一個數據包（如“IP分組B1”）在進入防火墻時，規則表拒絕它通過，則防火墻直接丟棄該數據包，與該數據包相關的后續數據包（如“IP分組B2”、“IP分組B3”等）同樣會被拒絕通過。§8.3防火墻的基本類型8.3.3狀態檢測防火墻4、跟蹤連接狀態的方式狀態檢測防火墻跟蹤連接狀態的方式取決于所使用的傳輸層協議。（1）TCP數據包。（2）UDP數據包。P.233~234詳見§8.3防火墻的基本類型8.3.3狀態檢測防火墻5、狀態檢測防火墻的應用特點與靜態包過濾防火墻相比，采用動態包過濾技術的狀態檢測防火墻通過對數據包的跟蹤檢測技術，解決了靜態包過濾防火墻中某些應用需要使用動態端口時存在的安全隱患，解決了靜態包過濾防火墻存在的一些缺陷。與代理防火墻相比，狀態檢測防火墻不需要中斷直接參與通信的兩臺主機之間的連接，對網絡速度的影響較小。狀態檢測防火墻具有新型的分布式防火墻的特征。

狀態檢測防火墻的不足主要表現為：對防火墻CPU、內存等硬件要求較高、安全性主要依賴于防火墻操作系統的安全性。

第8章防火墻技術及應用§8.3防火墻的基本類型

在防火墻的整體概念的基礎上，細化對防火墻技術的深入了解，一定要進行防火墻的分類。本節從防火墻體系結構入手，對防火墻進行分類，同時簡要的介紹防火墻在不同結構類型的情況下如何工作。本節概要8.3.1

包過濾防火墻8.3.2代理防火墻8.3.4分布式防火墻8.3.3狀態檢測防火墻§8.3防火墻的基本類型8.3.4分布式防火墻1.傳統防火墻的不足雖然本章前面介紹的幾類傳統防火仍然是現代計算機網絡安全防范的支柱，但在安全要求較高的大型網絡中存在一些不足，主要表現如下：（1）結構性限制。（2）防外不防內。（3）效率問題。（4）故障問題?！?.3防火墻的基本類型8.3.4分布式防火墻2．分布式防火墻的概念

為了解決傳統防火墻正在面臨的問題，美國AT&T實驗室研究員StevenM.Bellovin于1999年在他的論文“分布式防火墻”（DistributedFirewalls，DFW）一文中首次提出了分布式防火墻的概念。在該論文中提供了DFW的方案：策略集中定制，在各臺主機上執行，日志集中收集處理。根據DFW所需要完成的功能，分布式防火墻系統由以下3部分組成：（1）網絡防火墻。（2）主機防火墻。（3）中心管理服務器?！?.3防火墻的基本類型8.3.4分布式防火墻3．分布式防火墻的工作模式分布式防火墻的基本工作模式是：由中心管理服務器統一制定安全策略，然后將這些定義好的策略分發到各個相關節點。而安全策略的執行則由相關主機節點獨立實施，由各主機產生的安全日志集中保存在中心管理服務器上。分布式防火墻的工作模式如圖所示。§8.3防火墻的基本類型8.3.4分布式防火墻4．分布式防火墻的應用特點分布式防火墻的應用優勢主要表現為：（1）增加了針對主機的入侵檢測和防護功能，加強了對來自內部網絡的攻擊防范，可以實施全方位的安全策略。（2）提高了系統性能，克服了結構性瓶頸問題，提高了系統性能。（3）與網絡的物理撲拓結構無關，支持VPN和移動計算等應用，應用更加廣泛。5．分布式防火墻產品雖然分布式防火墻技術的提出相對較晚，但相應的產品非常豐富。目前，從總體來看國外的一些著名網絡設備制造商（如3COM、Cisco、美國網絡安全系統公司等）在分布式防火墻技術方面更加先進，所提供的產品性能也比