课 时 第 2 周 第 1、2 课时 2010年 9月 6 日 课题:防火墙与防火墙的作用 一、教学目的: 了解防火墙的作用、分类及设计的相关概念 二、教学重点: 防火墙体系结构的设计 三、教学难点: 防火墙体系结构的设计 四、学方法: 讲解法为主,利用投影仪和黑板讲解穿插教学 五、教学用具: 黑板、投影仪、CAI课件及其硬件支持 六、课时安排:4课时 七、教学过程: (一)课题引入:介绍防火墙的重要作用,本章要学习的内容的重要性。 (二)讲授新课: 2.1 防火墙的作用 2.1.1Internet防火墙 防火墙是防止因特网上的危险(病毒、资源盗用等)传播到你的网络内部,它服务于多个目的,具体内容如下: ●限制人们从一个特别的控制点进入。 ●防止侵入者接近其他防御设施。 ●限制人们从一个特别的点离开。 ●有效地阻止破坏者对计算机系统进行破坏。 2.1.2 防火墙重要功能 防火墙能强化安全策略 防火墙能有效记录Internet上的活动 防火墙限制暴漏用户点 防火墙是一个安全策略的检查站 2.1.3防火墙缺点 ●防火墙不能防范恶意的知情者 ●防火墙不能通过他的连接 ●防火墙不能防备全部的威胁 ●防火墙不能防范病毒 检测随机数据中的病毒是否穿过防火墙十分困难,它要求: ● 确认数据包是程序的一部分 ● 决定程序看起来像什么 ● 确定病毒引起的改变 2.2 防火墙产品分类 目前,防火墙产品大致分为3类,即: ● 软件防火墙 软件防火墙一般运行在操作系统上,支持TCP/IP协议。 ● 硬件防火墙 硬件防火墙带有特殊的硬件,通常软件较少活动。 ● 工业标准服务器防火墙 工业标准防火墙是指凡是符合工业标准的、大批量生产的、机架式服务器,无论是IA架构,还是IBM的ISA架构,只要符合上述标准,都可以称为标准服务器。因此,在这种平台上安装、运行、防火墙软件,形成防火墙系统,都可以称为是工业标准服务器的防火墙。它的性价比较高,有以下特点: ● 速度快、性能好 ● 批量大、价格低 ● 维护费用低、扩展好 ● 配置灵活、集成不同应用 ● 体现系统集成商的增值作用 2.3 防火墙在OSI/RM中的位置 防火墙是设置在被保护的网络和外部网络之间的一道屏障,以防发生不可预测的、潜在的破坏性侵入,它可通过检测、限制、更改跨越防火墙的数据源,尽可能地对外部屏蔽网络内部信息、结构和运行状况,以此来保护实现内部网络安全。 2.4防火墙的发展史 第一代防火墙 第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。 第二、三代防火墙 1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。 第四代防火墙 1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 第五代防火墙 1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。 2.5防火墙两大分类 尽管防火墙的发展经过了上述的几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。 ●包过滤防火墙 第一代:静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。 第二代:动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更绿跄俊? ● 代理防火墙 第一代:代理防火墙 代理防火墙也叫应用层网关(Application Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 所谓代理服务器,是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的Proxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。 代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网络的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样,如果你先将这份声明交给你的律师,然后律师就会审查你的声明,确认没有什么负面的影响后才由他交给那个陌生人。在此期间,陌生人对你的存在一无所知,如果要对你进行侵犯,他面对的将是你的律师,而你的律师当然比你更加清楚该如何对付这种人。 代理防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,(比如要求达到75-100Mbps时)代理防火墙就会成为内外网络之间的瓶颈。所幸的是,目前用户接入Internet的速度一般都远低于这个数字。在现实环境中,要考虑使用包过滤类型防火墙来满足速度要求的情况,大部分是高速网(ATM或千兆位以太网等)之间的防火墙。 第二代:自适应代理防火墙 自适应代理技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。 在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。 八、课程小结: 通过对本章节的学习,要达到如下目的:一个是了解防火墙的功能、发展史、及两类防火墙的各自特点。 九、作业: 掌握包过滤防火墙和代理防火墙的工作原理。 本文来源:https://www.wddqw.com/doc/6e15e227874769eae009581b6bd97f192279bfa3.html