对防火墙的两大需求
保障内部网安全 保证内部网同外部网的连通
3.1.1 防火墙的定义
防火墙是设置在被保护网络和外部网络 之间的一道屏障，实现网络的安全保护，以 防止发生不可预测的、潜在破坏性的侵入。 它是不同网络或网络安全域之间信息的 唯一出入口 。
防火墙的发展简史
第一代防火墙：采用了包过滤（Packet Filter） 技术。 第二代防火墙：应用层防火墙的初步结构。 第三代防火墙： 1992年，开发出了基于动态 包过滤技术的第四代防火墙。 第四代防火墙： 1998 年， NAI 公司推出了一 种自适应代理技术。
动态包过滤 防火墙的工作原理
自适应代理防火墙
防火墙构造体系
筛选路由器
多宿主主机
被屏蔽主机
被屏蔽子网
概念
l 堡垒主机(Bastion host):堡垒主机是一种 配置了安全防范措施的网络上的计算机，堡垒主机 为网络之间的通信提供了一个阻塞点，也就是说如 果没有堡垒主机，网络之间将不能相互访问。可以 配置成过滤型、代理型或混合型。 l 双宿主主机(Dual-homed Host):有两个网 络接口的计算机系统，一个接口接内部网，一个接 口接外部网。 DMZ(Demilitarized Zone，非军事区或者停火区)： 在内部网络和外部网络之间增加的一个子网。可以实
3.2.3 防火墙的常见体系结构
返回本章首页
3.2.1 防火墙的技术分类
1．包过滤防火墙 2．应用网关（代理服务） 3．混合防火墙
1．包过滤防火墙（Packet
filtering）
（1）数据包过滤技术的发展：静态包过滤、 动态包过滤。 （2）包过滤的优点：不用改动应用程序、一 个过滤路由器能协助保护整个网络、数据包 过滤对用户透明、过滤路由器速度快、效率 高。
网 络 管 理 评 估 病 毒 防 护 体 系
安全防护
网 络 访 问 控 制
网络安全服务
应 急 服 务 体 系 安 全 技 术 培 训
网 络 监 控
数 据 保 密
数 据 恢 复
5.1 防火墙技术概述
防火墙的定义 防火墙的发展简史 设置防火墙的目的和功能
返回本章首页
防火墙的功能
1. 2. 3. 4. 5. 访问控制 对网络存取和访问进行监控审计 防止内部信息的外泄 支持VPN功能 支持网络地址转换
代理防火墙的原理
代理防火墙的工作过程
代理技术的优点
1）代理易于配置。 2）代理能生成各项记录。 3）代理能灵活、完全地控制进出流量、内 容。 4）代理能过滤数据内容。 5）代理能为用户提供透明的加密机制。 6）代理可以方便地与其他安全手段集成。
代理技术的缺点
1）代理速度较路由器慢。 2）代理对用户不透明。 3 ）对于每项服务代理可能要求不同的服务 器。 4 ）代理服务不能保证免受所有协议弱 点的限制。 5 ）代理防火墙提供应用保护的 协议范围是有限的
现避免内外网用户的直接接触。
筛选路由器
进行包过滤
包过滤器
内部网络
外部网络
双宿主主机--Dual-Homed
Host Firewall
被屏蔽主机 (Screened Host Firewall)
被屏蔽子网 (Screened subnet Firewall)
小型网络解决方案
典型的网络安全解决方案
源端口
>1023
目的地 址 any any

目的端口
80
协议
TCP
进站
拒绝
any
默认安全策略
没有明确禁止的行为都是允许的 举例：华为的ACL 没有明确允许的行为都是禁止的 举例：思科的ACL
2．代理防火墙的原理 Proxy Server
代理防火墙（应用层网关型防火墙） 代理防火墙通过编程来弄清用户应用层的 流量，并能在用户层和应用协议层间提供访 问控制；而且，还可用来保持一个所有应用 程序使用的记录。记录和控制所有进出流量 的能力是应用层网关的主要优点之一。
3.1.4 防火墙的局限性
（1）防火墙防外不防内。 （2）防火墙不能防范不通过它的连接。 （3）很难为用户在防火墙内外提供一致的安 全策略。 （4）防火墙只实现了粗粒度的访问控制。 （5）防火墙对病毒的访问控制有局限。
返回本节
3.2 防火墙技术
3.2.1 防火墙的技术分类 3.2.2 防火墙的主要技术及实现方式
返回本章首页
内容攻击的风险日趋增长
网络分层
蠕虫，病毒，可执行内容、特洛伊 木马/代理的攻击
内容攻击 盗用口令，欺骗，操作系统和网络协议 的侦测 协议层攻击 窃取计算机磁带，磁盘，搭线窃听，电子 信号的检测和感应 物理层攻击
1980
1990
2000
网络安全防护体系构架
网络安全评估
系 统 漏 洞 扫 描
包过滤防火墙的特点
优点： 保护整个网络；对用户透明；可用路由器， 不需要其他设备。 缺点： 1.包过滤的一个重要的局限是它不能分辨好 的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗
应用
E0端口
方向
进站
动作
允许
源地址
192.168.6.0/24
第5章 防火墙技术
防火墙技术
3.1 防火墙技术概述
3.2 防火墙技术
3.3 防火墙设计实例
本章学习目标
（1）了解防火墙的定义、发展简史、目的、 功能、局限性及其发展动态和趋势。 （2）掌握包过滤防火墙和和代理防火墙的实 现原理、技术特点和实现方式；熟悉防火墙 的常见体系结构。 （3）熟悉防火墙的产品选购和设计策略。
双机热备
简单包过滤 防火墙的工作原理
包过滤 防火墙的工作流程
过滤规则-ACL
包过滤规则一般基于部分的或全部的包头信息： 1．IP协议类型 2．IP源地址 3．IP目标地址 4． TCP（ UDP ）源端口号 5． TCP （ UDP ）目标端口号 6． TCP ACK标识，指出这个包是否是联接 中的第一个包，是否是对另一个包的响应。