1、第九章第九章 计算机网络的安全计算机网络的安全 教学目标教学目标掌握网络安全的基本概念。掌握网络安全的基本概念。掌握防火墙技术。掌握防火墙技术。9.1 9.1 计算机网络安全概述计算机网络安全概述 9.1.1 9.1.1 网络安全的意义网络安全的意义(1 1)网络信息安全的含义)网络信息安全的含义网络信息安全是计算机网络的机密性、完整性和可用性的集合。机密性网络信息安全是计算机网络的机密性、完整性和可用性的集合。机密性指通过加密数据防止信息泄露;完整性指通过验证防止信息篡改;可用指通过加密数据防止信息泄露;完整性指通过验证防止信息篡改;可用性指得到授权的实体在需要时可使用网络资源。性指得到授权
2、的实体在需要时可使用网络资源。网络信息安全是在分布网络环境中,对信息载体网络信息安全是在分布网络环境中,对信息载体(处理载体、存储载体、处理载体、存储载体、传输载体传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数和信息的处理、传输、存储、访问提供安全保护,以防止数据、信息内容或能力被非授权使用、篡改和拒绝服务。据、信息内容或能力被非授权使用、篡改和拒绝服务。信息载体的安全包括处理载体、存储载体的安全。处理载体指处理器、信息载体的安全包括处理载体、存储载体的安全。处理载体指处理器、操作系统等处理信息的硬件或软件载体。存储载体指内存、硬盘、数据操作系统等处理信息的硬件或软件载体。存储
3、载体指内存、硬盘、数据库等存储信息的硬件或软件载体。传输载体指通信线路、路由器、网络库等存储信息的硬件或软件载体。传输载体指通信线路、路由器、网络协议等传输信息的硬件或软件载体。协议等传输信息的硬件或软件载体。9.1.1 9.1.1 网络安全的意义网络安全的意义(2 2)网络层面的安全需求)网络层面的安全需求维护信息载体的安全运行是网络层面的安全目标。为了达到这一目标,维护信息载体的安全运行是网络层面的安全目标。为了达到这一目标,就要抵抗对网络和系统的安全威胁。这些安全威胁包括物理侵犯就要抵抗对网络和系统的安全威胁。这些安全威胁包括物理侵犯(如机如机房侵入、设备偷窃、废物搜寻、电子干扰等房侵入
4、、设备偷窃、废物搜寻、电子干扰等)、系统漏洞、系统漏洞(如旁路控制、如旁路控制、程序缺陷等程序缺陷等)、网络入侵、网络入侵(如窃听、截获、堵塞等如窃听、截获、堵塞等)、恶意软件、恶意软件(如病毒、如病毒、蠕虫、特洛伊木马、信息炸弹等蠕虫、特洛伊木马、信息炸弹等)、存储损坏、存储损坏(如老化、破损等如老化、破损等)等。等。(3 3)信息层面的安全需求)信息层面的安全需求维护信息自身的安全使用是信息层面的安全目标。为了达到这一目标维护信息自身的安全使用是信息层面的安全目标。为了达到这一目标,就要抵抗对信息的安全威胁。这些安全威胁包括身份假冒、非法访问、就要抵抗对信息的安全威胁。这些安全威胁包括身份
5、假冒、非法访问、信息泄露、数据受损、事后否认等。信息泄露、数据受损、事后否认等。9.1.2 9.1.2 网络的安全威胁网络的安全威胁对计算机网络的安全威胁可以氛围两大类,即主动攻击和被动攻对计算机网络的安全威胁可以氛围两大类,即主动攻击和被动攻击。主动攻击分中断、篡改和假冒三种,被动攻击只有一种形式,击。主动攻击分中断、篡改和假冒三种,被动攻击只有一种形式,即截取。即截取。中断(中断(interruptioninterruption)当网络上的用户在通信时,破坏者可当网络上的用户在通信时,破坏者可以中断他们之间的通信。以中断他们之间的通信。9.1.2 9.1.2 网络的安全威胁网络的安全威胁篡
6、改(篡改(modificationmodification)当网络用户甲在向乙发送报文时,报当网络用户甲在向乙发送报文时,报文在转发的过程中被丙更改。文在转发的过程中被丙更改。9.1.2 9.1.2 网络的安全威胁网络的安全威胁假冒(假冒(fabricationfabrication)网络用户丙非法获取用户乙的权限并网络用户丙非法获取用户乙的权限并以乙的名义与甲进行通信。以乙的名义与甲进行通信。9.1.2 9.1.2 网络的安全威胁网络的安全威胁截取(截取(interceptioninterception)当网络用户甲与乙进行网络通信时,当网络用户甲与乙进行网络通信时,如果不采取任何保密措施时
7、,那么其他人就有可能偷看到他们之如果不采取任何保密措施时,那么其他人就有可能偷看到他们之间的通信内容。间的通信内容。9.2 9.2 访问控制列表访问控制列表 9.2.1 9.2.1 访问控制列表的定义访问控制列表的定义ACLACL的定义是基于协议的。的定义是基于协议的。9.2.2 9.2.2 访问控制列表的工作原理访问控制列表的工作原理访问控制列表最常见的用途是作为数据包的过滤器。如果没有过滤器,访问控制列表最常见的用途是作为数据包的过滤器。如果没有过滤器,那么,所有的数据包都能传输到网络的任一处。虽然访问控制列表经常那么,所有的数据包都能传输到网络的任一处。虽然访问控制列表经常与数据包过滤器
8、联系在一起,但它还有许多其他用途。与数据包过滤器联系在一起,但它还有许多其他用途。9.2.2 9.2.2 访问控制列表的工作原理访问控制列表的工作原理(1 1)路由器对访问控制列表的处理过程)路由器对访问控制列表的处理过程访问控制列表对路由器本身产生的数据包不起作用,如一些路由选择更访问控制列表对路由器本身产生的数据包不起作用,如一些路由选择更新信息。新信息。ACLACL是一组判断语句的集合,具体对下列数据包进行检测并控是一组判断语句的集合,具体对下列数据包进行检测并控制:制:从入站接口进入路由器的数据包。从入站接口进入路由器的数据包。从出站接口离开路由器的数据包。从出站接口离开路由器的数据包
9、。9.2.2 9.2.2 访问控制列表的工作原理访问控制列表的工作原理(2 2)访问控制列表的入与出)访问控制列表的入与出使用命令使用命令ip access-groupip access-group,可把访问控制列表应用到某一接口上。其中,关键字,可把访问控制列表应用到某一接口上。其中,关键字inin或或outout指指明访问控制列表是对进来的明访问控制列表是对进来的(以接口为参考点以接口为参考点),还是对出去的数据包进行控制:,还是对出去的数据包进行控制:Router(config-if)#ip access-group access-list-number in|outRouter(con
10、fig-if)#ip access-group access-list-number in|out9.2.2 9.2.2 访问控制列表的工作原理访问控制列表的工作原理外出标准访问控制列表的处理过程外出标准访问控制列表的处理过程。9.2.2 9.2.2 访问控制列表的工作原理访问控制列表的工作原理(3 3)访问控制列表的)访问控制列表的denydeny和和permitpermit下列语法结构给出了全局下列语法结构给出了全局access-listaccess-list命令的通用形式:命令的通用形式:Router(config)#access-list access-list-number Rout
11、er(config)#access-list access-list-number permit/denytest conditionspermit/denytest conditions9.2.2 9.2.2 访问控制列表的工作原理访问控制列表的工作原理(4 4)访问控制列表的通配符)访问控制列表的通配符 使用通配符使用通配符any any 假设网络管理员要在访问控制列表测试中允许访问任何目的地址。为了假设网络管理员要在访问控制列表测试中允许访问任何目的地址。为了指出是任何指出是任何IPIP地址,网络管理员将要输入地址,网络管理员将要输入0.0.0.00.0.0.0;然后还要指出访问;然后还
12、要指出访问控制列表将要忽略任何值,相应的反码位是全控制列表将要忽略任何值,相应的反码位是全1 1,即,即255.255.255.255255.255.255.255。不过,管理员可以使用缩写字不过,管理员可以使用缩写字anyany,把上述测试条件表达给,把上述测试条件表达给IOSIOS软件。这软件。这样,管理员就不需要输入样,管理员就不需要输入0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255,而只要使用通配,而只要使用通配符符anyany即可。即可。例如,对于下面的测试条件:例如,对于下面的测试条件:可以用可以用anyany改写成:改写成:Route
13、r(config)#access-list 1 permit anyRouter(config)#access-list 1 permit any9.2.2 9.2.2 访问控制列表的工作原理访问控制列表的工作原理 使用通配符使用通配符host host 当网络管理员想要与整个当网络管理员想要与整个IPIP主机地址的所有位主机地址的所有位相匹配时,相匹配时,IOSIOS允许在访问控制列表的反码中使用缩写字允许在访问控制列表的反码中使用缩写字hosthost。假设网络管理员想要在访问控制列表的测试中拒绝特定的主机地址。为假设网络管理员想要在访问控制列表的测试中拒绝特定的主机地址。为了表示这个主机
14、了表示这个主机IPIP地址,管理员将要输入地址,管理员将要输入172.16.30.29172.16.30.29,然后指出这个,然后指出这个访问控制列表将要测试这个地址的所有位,相应的反码位全为零:访问控制列表将要测试这个地址的所有位,相应的反码位全为零:0.0.0.00.0.0.0。管理员可以使用缩写字管理员可以使用缩写字hosthost,表达上面所说的这种测试条件。例如,下,表达上面所说的这种测试条件。例如,下面的测试语句:面的测试语句:Router(config)#access-list 1 permit 172.16.30.29 0.0.0.0 Router(config)#access
15、-list 1 permit 172.16.30.29 0.0.0.0 可以改写成:可以改写成:Router(config)#access-list 1 permit host 172.16.30.29 Router(config)#access-list 1 permit host 172.16.30.29 9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类(1 1)标准访问控制列表)标准访问控制列表 当管理员想要阻止来自某一特定网络的所有通信流量,或允许来自某一当管理员想要阻止来自某一特定网络的所有通信流量,或允许来自某一特定网络的所有通信流量时,可以使用标准访问列表实现这一目标
16、。特定网络的所有通信流量时,可以使用标准访问列表实现这一目标。标准访问控制列表根据数据包的源标准访问控制列表根据数据包的源IPIP地址来允许或拒绝数据包,标准地址来允许或拒绝数据包,标准IPIP访问控制列表的访问控制列编号是访问控制列表的访问控制列编号是l l9999。9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类对于单独的一个对于单独的一个ACLACL,可以定义多个条件判断语句。每个条件判断语句,可以定义多个条件判断语句。每个条件判断语句都指向同一个固定的都指向同一个固定的ACLACL,以便把这些语句限制在同一个,以便把这些语句限制在同一个ACLACL之内。之内。9.2.3 9
17、.2.3 访问控制列表的分类访问控制列表的分类1 1)标准)标准ACLACL的配置实例的配置实例 第一个例子允许源网络地址是第一个例子允许源网络地址是172.16.0.0172.16.0.0的通信流量通过;第二个例子的通信流量通过;第二个例子拒绝源地址位为拒绝源地址位为172.16.4.13172.16.4.13的连信流量,允许所有其他的流量。最后,的连信流量,允许所有其他的流量。最后,第三个例子拒绝来自子网第三个例子拒绝来自子网172.16.4.0172.16.4.0的所有通信流量,而允许所有其他的所有通信流量,而允许所有其他的通信流量。的通信流量。9.2.3 9.2.3 访问控制列表的分类
18、访问控制列表的分类(2 2)扩展访问控制列表)扩展访问控制列表 扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。利用这些特性,可以基于网络的应用类型来限制数据流。来提供更高程度的控制。利用这些特性,可以基于网络的应用类型来限制数据流。9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类使用扩展使用扩展ACLACL可以实现更加精确的流量控制。扩展可以实现更加精确的流量控制。扩展ACLACL的测试条件即可检的测试条件即可检查数据包的源地址,也可以检查数据包的目的地址。查数据包的
19、源地址,也可以检查数据包的目的地址。9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类1 1)扩展访问控制列表的配置与应用)扩展访问控制列表的配置与应用在扩展在扩展ACLACL中,命令中,命令access-listaccess-list的完全语法格式如下:的完全语法格式如下:Router(config)#access-list access-list-number permit I denyprotocol source Router(config)#access-list access-list-number permit I denyprotocol source source-
20、wildcard destination destination-wildcard operator source-wildcard destination destination-wildcard operator operanestablishedlogoperanestablishedlog下面是该命令有关参数的说明:下面是该命令有关参数的说明:access-list-number access-list-number 访问控制列表编号。使用访问控制列表编号。使用100100199199之间的数字来标识一个扩展之间的数字来标识一个扩展访问控制列表。访问控制列表。Permit/deny P
21、ermit/deny 用来表示在满足测试条件的情况下,该入口是允许还是拒绝后面指定地用来表示在满足测试条件的情况下,该入口是允许还是拒绝后面指定地址的通信流量。址的通信流量。protocol protocol 用来指定协议类型,如用来指定协议类型,如IPIP、TCPTCP、UDPUDP、ICMPICMP、GREGRE以及以及IGRPIGRP。source source、destination destination 源和目的,分别用来标识源地址和目的地址。源和目的,分别用来标识源地址和目的地址。source-wildcard source-wildcard、destination-wildca
22、rd destination-wildcard 反码,反码,source-wildcardsource-wildcard是源反码,与源是源反码,与源地址相对应;地址相对应;destination-wildcarddestination-wildcard是目的反码,与目的地址对应。是目的反码,与目的地址对应。operator operan lt(operator operan lt(小于小于)、gt(gt(大于大于)、eq(eq(等于等于)、neq(neq(不等于不等于)和一个端口号。和一个端口号。established established 如果数据包使用一个已建立连接如果数据包使用一个已建
23、立连接(例如该数据包的例如该数据包的ACKACK位设置了位设置了),便可,便可以允许以允许TCPTCP信息量通过。信息量通过。9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类2 2)扩展访问控制列表的应用)扩展访问控制列表的应用下面介绍扩展下面介绍扩展ACLACL配置的实例。第一个例子将拒绝配置的实例。第一个例子将拒绝FTPFTP通信流量通过通信流量通过F0/0F0/0接口。第二个例子只拒绝接口。第二个例子只拒绝TelnetTelnet通信流量经过通信流量经过F0/0F0/0,而允许其他所有流,而允许其他所有流量经过量经过F0/0F0/0。拒绝所有从拒绝所有从172.16.4.01
24、72.16.4.0到到172.16.3.0172.16.3.0的的FTPFTP通信流量通过通信流量通过F0/0F0/0。绝来自指定子网的绝来自指定子网的TelnetTelnet通信流量。通信流量。9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类(3 3)命名访问控制列表)命名访问控制列表1 1)访问控制列表的命名)访问控制列表的命名在标准在标准ACLACL和扩展和扩展ACLACL中,可以使用一个字母数字组合的字符串中,可以使用一个字母数字组合的字符串(名字名字)代代替前面所使用的数字替前面所使用的数字(1(1199)199)来表示来表示ACLACL的编号,称为命名的编号,称为命名A
25、CLACL。命名。命名ACLACL还可以用来从某一特定的还可以用来从某一特定的ACLACL中删除个别的控制条目,这样可以让网中删除个别的控制条目,这样可以让网络管理员方便地修改络管理员方便地修改ACLACL,而不用必须完全删除一个,而不用必须完全删除一个ACLACL,然后再重新建,然后再重新建立一个立一个ACLACL来进行修改。来进行修改。可以在下列情况下使用命名可以在下列情况下使用命名ACLACL:需要通过一个字母数字串组成的名字来直观地表示特定的需要通过一个字母数字串组成的名字来直观地表示特定的ACLACL。对于某一给定的协议,在同一路由器上,有超过对于某一给定的协议,在同一路由器上,有超
26、过9999个的标准个的标准ACLACL或者或者有超过有超过100100个的扩展个的扩展ACLACL需要配置。需要配置。9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类2 2)命名的访问控制列表的应用)命名的访问控制列表的应用 下面的例子说明了如何建立一个命名扩展下面的例子说明了如何建立一个命名扩展ACLACL,以便只拒绝通过,以便只拒绝通过F0/0F0/0端口从端口从172.16.4.0172.16.4.0到到172.16.3.0172.16.3.0的的TelnetTelnet通信流量,而允许其他的通信流量。实现步骤通信流量,而允许其他的通信流量。实现步骤如下:如下:第一步:创建名
27、为第一步:创建名为ciscocisco的命名访问控制列表的命名访问控制列表Router(config)#ip access-list extended ciscoRouter(config)#ip access-list extended cisco第二步:指定一个或多个第二步:指定一个或多个permitpermit及及denydeny条件条件 Router(config-ext-nacl)#deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 Router(config-ext-nacl)#deny tcp 172.16.4.0 0.0.0.255 172.16.
28、3.0 0.0.0.255 eq 230.0.0.255 eq 23Router(config-ext-nacl)#permit ip any anyRouter(config-ext-nacl)#permit ip any any第三步:应用到接口第三步:应用到接口F0/0F0/0的出方向的出方向Router(config)#interface fastethernet 0/0Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group cisco outRouter(config-if)#ip acce
29、ss-group cisco out3 3)查看)查看ACLACL列表列表 命令命令show ip interfaceshow ip interface用来显示用来显示IPIP接口信息,并显示接口信息,并显示ACLACL是否正确设置。是否正确设置。命令命令show access-list show access-list 用来显示所有用来显示所有ACLACL的内容。如果输入一个的内容。如果输入一个ACLACL的名字和的名字和数字做完该命令的可选项,网络管理员可以查看特定的列表。数字做完该命令的可选项,网络管理员可以查看特定的列表。命令命令show running-config show run
30、ning-config 也可以用来查看也可以用来查看ACLACL的具体配置条目,以及如何应的具体配置条目,以及如何应用到某个端口上。用到某个端口上。9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类(4 4)基于时间的访问控制列表)基于时间的访问控制列表基于时间的访问控制列表可以规定内网的访问时间。目前几乎所有的防基于时间的访问控制列表可以规定内网的访问时间。目前几乎所有的防火墙都提供了基于时间的控制对象,路由器的访问控制列表也提供了定火墙都提供了基于时间的控制对象,路由器的访问控制列表也提供了定时访问的功能,用于在指定的日期和时间范围内应用访问控制列表。时访问的功能,用于在指定的日
31、期和时间范围内应用访问控制列表。它的语法规则如下:它的语法规则如下:1 1)为时间段起名:)为时间段起名:Router(config)#time-range time-range-name Router(config)#time-range time-range-name 9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类2 2)配置时间对象)配置时间对象 配置绝对时间:配置绝对时间:Router(config-time-range)#absolute start time date end time date|end Router(config-time-range)#absolu
32、te start time date end time date|end time date time date start time datestart time date:表示时间段的起始时间。:表示时间段的起始时间。timetime表示时间,格式为表示时间,格式为“hh:mm”“hh:mm”。datedate表示表示日期,格式为日期,格式为“日日 月月 年年”。end time dateend time date:表示时间段的结束时间,格式与起始时间相:表示时间段的结束时间,格式与起始时间相同。同。示例:示例:absolute start 08:00 1 Jan 2010 end 10:
33、00 1 Feb 2010absolute start 08:00 1 Jan 2010 end 10:00 1 Feb 2010(即从(即从20102010年年1 1月月1 1日日08:0008:00点开始到点开始到20102010年年2 2月月1 1日日10:0010:00点结束)点结束)配置周期时间:配置周期时间:Router(config-time-range)#periodic day-of-the-week hh:mm to day-of-the-week Router(config-time-range)#periodic day-of-the-week hh:mm to day
34、-of-the-week hh:mm hh:mm periodic weekdays|weekend|daily hh:mm to hh:mm periodic weekdays|weekend|daily hh:mm to hh:mm day-of-the-weekday-of-the-week:表示一个星期内的一天或者几天,:表示一个星期内的一天或者几天,MondayMonday,TuesdayTuesday,WednesdayWednesday,ThursdayThursday,FridayFriday,SaturdaySaturday,SundaySunday。hh:mmhh:mm:表
35、示时间:表示时间weekdaysweekdays:表示周一到周五:表示周一到周五weekendweekend:表示周六到周日:表示周六到周日 dailydaily:表示一周中的每一天:表示一周中的每一天示例:示例:periodic weekdays 09:00 to 18:00periodic weekdays 09:00 to 18:00(即周一到周五每天的(即周一到周五每天的09:0009:00到到18:0018:00)9.2.3 9.2.3 访问控制列表的分类访问控制列表的分类3 3)配置实例)配置实例假设规定上班期间早八点到晚八点启用规则、周末全天启用规则,具体假设规定上班期间早八点到
36、晚八点启用规则、周末全天启用规则,具体配置如下:配置如下:Router(config)#time-range worktimeRouter(config)#time-range worktimeRouter(config-time-range)#periodic weekends 00Router(config-time-range)#periodic weekends 00:00 to 2300 to 23:5959Router(config-time-range)#periodic monday 08Router(config-time-range)#periodic monday 08:
37、00 to friday 2000 to friday 20:00009.3 9.3 防火墙防火墙 9.3.1 9.3.1 什么是防火墙什么是防火墙防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络全和可信赖的,而外部网络(通常是通常是Iternet)Iternet)被认为是不安全和不可信被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。部网络,通过边界控制强
38、化内部网络的安全政策。防火墙一般安放在被保护网的边界,这样必须做到以下几点,才能防火墙一般安放在被保护网的边界,这样必须做到以下几点,才能使防火墙起来安全防护的作用使防火墙起来安全防护的作用:所有进出被保护网络的通信必须通过防火墙。所有进出被保护网络的通信必须通过防火墙。所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权。所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权。防火墙本身是不可被入侵的。防火墙本身是不可被入侵的。9.3.2 9.3.2 防火墙的功能防火墙的功能防火墙具有如下几个功能:防火墙具有如下几个功能:访问控制功能。这是防火墙最基本也是最重要的功能,通过禁止或允
39、许特定访问控制功能。这是防火墙最基本也是最重要的功能,通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据。需要禁止非授权的访问,防用户访问特定的资源,保护网络的内部资源和数据。需要禁止非授权的访问,防火墙需要识别哪个用户可以访问何种资源。火墙需要识别哪个用户可以访问何种资源。内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息,也可以限制外部访掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息,也可以限制外部访问,使它们只能够访问本地问,使它们只能够
40、访问本地WebWeb服务器中的一部分信息。服务器中的一部分信息。全面的日志功能。防火墙的日志功能很重要。防火墙需要完整的记录网络访全面的日志功能。防火墙的日志功能很重要。防火墙需要完整的记录网络访问情况,包括内外网进出的访问,需要记录访问是什么时候进行了什么操作,以问情况,包括内外网进出的访问,需要记录访问是什么时候进行了什么操作,以检查网络访问情况。检查网络访问情况。集中管理功能。防火墙是一个安全设备,针对不同的网络情况和安全的需要,集中管理功能。防火墙是一个安全设备,针对不同的网络情况和安全的需要,需要制定不同的安全策略需要制定不同的安全策略,然后在防火墙上实施,使用中还需要根据情况,改变
41、然后在防火墙上实施,使用中还需要根据情况,改变安全策略,而且在一个安全体系中,防火墙可能不止一台,所以防火墙应该是易安全策略,而且在一个安全体系中,防火墙可能不止一台,所以防火墙应该是易于集中管理的,这样管理员就可以很方便地实施安全策略。于集中管理的,这样管理员就可以很方便地实施安全策略。自身的安全可用性。防火墙要保证自身的安全,不被非法侵入,保证正常地自身的安全可用性。防火墙要保证自身的安全,不被非法侵入,保证正常地工作。工作。9.3.3 9.3.3 边界保护机制边界保护机制对防火墙而言,网络可以分可信网络和不可信网络,可信网络和对防火墙而言,网络可以分可信网络和不可信网络,可信网络和不可信
42、网络是相对的,一般来讲内部网络是可信网络不可信网络是相对的,一般来讲内部网络是可信网络,互联网是互联网是不可信网络不可信网络,但是在内部网络中,比如财务部网络需要特殊保护,但是在内部网络中,比如财务部网络需要特殊保护,在这里财务部网络是可信网络,其他的内部网络就变成了不可信在这里财务部网络是可信网络,其他的内部网络就变成了不可信网络。对于服务器来说,比如网络。对于服务器来说,比如WebWeb服务器或数据库服务器,内部服务器或数据库服务器,内部网络和外部网络则都是不可信网络。网络和外部网络则都是不可信网络。防火墙的安放位置是可信网络通向不可信网络的边界防火墙所保防火墙的安放位置是可信网络通向不可
43、信网络的边界防火墙所保护的对象是网络中有明确闭合边界的网段,防火墙是可信网络通护的对象是网络中有明确闭合边界的网段,防火墙是可信网络通向不可信网络的唯一出口,在被保护网络周边形成被保护网络与向不可信网络的唯一出口,在被保护网络周边形成被保护网络与外部网络的隔离,防范来自被保护网络外部的对被保护网络安全外部网络的隔离,防范来自被保护网络外部的对被保护网络安全的威胁,所以它是一种边界保护,它对可信网络内部之间的访问的威胁,所以它是一种边界保护,它对可信网络内部之间的访问无法进行控制,它仅对穿过边界的访问进行控制。无法进行控制,它仅对穿过边界的访问进行控制。9.3.4 9.3.4 防火墙的局限性防火
44、墙的局限性安装防火墙并不能做到绝对的安全,它有许多防范不到的地方。安装防火墙并不能做到绝对的安全,它有许多防范不到的地方。防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与互联网的直接,从而绕过防火墙,造成一限制的向外拨号,一些用户可以形成与互联网的直接,从而绕过防火墙,造成一个潜在的后门攻击渠道。个潜在的后门攻击渠道。防火墙不能防止感染了病毒的软件或文件传输。这只能在每台主机上装反病防火墙不能防止感染了病毒的软件或文件传输。这只能在每台主机上装反病毒软件。这是因为病毒的类型太多
45、,操作系统也有多种,不能期望防火墙对每一毒软件。这是因为病毒的类型太多,操作系统也有多种,不能期望防火墙对每一个进出内部网络的文件进行扫描,查出潜在的病毒,否则的话防火墙将成为网络个进出内部网络的文件进行扫描,查出潜在的病毒,否则的话防火墙将成为网络中最大的瓶颈。中最大的瓶颈。防火墙不能防止数据驱动式攻击。有些表面看起来无害的数据通过电子邮件防火墙不能防止数据驱动式攻击。有些表面看起来无害的数据通过电子邮件发送或者其他方式复制到内部主机上,一旦被执行就形成攻击。发送或者其他方式复制到内部主机上,一旦被执行就形成攻击。防火墙不能防范恶意的内部人员。内部人员通晓内部网络的结构,如果它从防火墙不能防
46、范恶意的内部人员。内部人员通晓内部网络的结构,如果它从内部来入侵内部主机,或进行一些破坏活动,因为该通信没有通过防火墙,所以内部来入侵内部主机,或进行一些破坏活动,因为该通信没有通过防火墙,所以防火墙无法阻止。防火墙无法阻止。防火墙不能防范不断更新的攻击方式。防火墙制定的安全策略是在已知的攻防火墙不能防范不断更新的攻击方式。防火墙制定的安全策略是在已知的攻击模式下的制定的,所以对全新的攻击方式缺少阻止功能。防火墙不能自动阻止击模式下的制定的,所以对全新的攻击方式缺少阻止功能。防火墙不能自动阻止全新的侵入,所以以为安装防火墙就可以什么问题都没有了的思想是很危险的。全新的侵入,所以以为安装防火墙就
47、可以什么问题都没有了的思想是很危险的。9.3.6 9.3.6 防火墙技术防火墙技术(1 1)包过滤技术)包过滤技术包过滤包过滤(packet filtering)(packet filtering)技术是防火墙在网络层中根据数据包中包头技术是防火墙在网络层中根据数据包中包头信息实施有选择地允许通过或阻断。依据防火墙内事先过滤规则,检查信息实施有选择地允许通过或阻断。依据防火墙内事先过滤规则,检查数据流中每个数据包头部,根据包的源地址、目的地址、数据流中每个数据包头部,根据包的源地址、目的地址、TCP/UDPTCP/UDP源端源端口号、口号、TCP/UDPTCP/UDP目的端口号及数据包头中的各
48、种标志位等因素来确定是目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤规则的设计。否允许数据包通过,其核心是安全策略即过滤规则的设计。(2 2)应用网关技术)应用网关技术应用网关应用网关(application gateway)(application gateway)与包过滤防火墙不同,它不使用能用与包过滤防火墙不同,它不使用能用目标制不允许各不同种类的通信,而是针对每个应用使用专用目的的处目标制不允许各不同种类的通信,而是针对每个应用使用专用目的的处理方法。虽然这样做看起来有些浪费,但却比任何其他方法安全得多,理方法。虽然这样做看起来有些浪费,但却比
49、任何其他方法安全得多,一是不必担心不同过滤规则集之间的交互影响;二是不必担忧对外部提一是不必担心不同过滤规则集之间的交互影响;二是不必担忧对外部提供安全服务的主机中的漏洞,只需仔细检查选择的数个应用程序。供安全服务的主机中的漏洞,只需仔细检查选择的数个应用程序。9.3.6 9.3.6 防火墙技术防火墙技术(3 3)状态检测防火墙)状态检测防火墙状态检测状态检测(stateful inspection)(stateful inspection)防火墙现在应用非常广泛,状态检测防火墙现在应用非常广泛,状态检测是一种相当于是一种相当于4/54/5层的过滤技术,它不限于包过滤防火墙的层的过滤技术,它不
50、限于包过滤防火墙的3/43/4层的过滤,层的过滤,又不需要应用层网关防火墙的又不需要应用层网关防火墙的5 5层过滤,既提供了比包过滤型防火墙更层过滤,既提供了比包过滤型防火墙更高安全性和更灵活的处理,也避免了应用层网关型防火墙带来的速度降高安全性和更灵活的处理,也避免了应用层网关型防火墙带来的速度降低的问题。低的问题。(4 4)电路级网关)电路级网关电路级网关也被称之为线路级网关,它工作在会话层。它在两个主机首电路级网关也被称之为线路级网关,它工作在会话层。它在两个主机首次建立次建立TCPTCP连接时创立一个电子屏障。它作为服务器接收外来请求,转连接时创立一个电子屏障。它作为服务器接收外来请求