精品课件
1.防火墙的基本功能
包过滤
➢ 这是防火墙的基本功能，现在的防火墙已 经有最初的地址、端口判定控制，发展到 判断通信报文协议头的各部分，以及通信 协议的应用层命令、内容、用户特征、用 户规则甚至状态监测等。
➢ 将防火墙设置为只有预先被允许的服务和 用户才能通过防火墙，禁止未授权的用户 访问受保护的网络，降低被保护网络受非 法攻击的风险。
精品课件
防火墙可以阻断攻击，但是不能消灭攻击源 互联网上的病毒、木马、恶意试探等造成的攻击
行为络绎不绝。如果防火墙的安全策略设置得当， 就可以阻断这类攻击，但是不能够清除攻击源。
精品课件
防火墙不能抵抗最新的未设置策略的高级漏 洞
如同杀毒软件，总是先出现病毒，杀毒软 件经过分析特征代码以后，将特征代码加入 到特征库中才能给将其查杀。防火墙的各种 策略也是在该攻击方式经过专家分析后给出 其特征而设置的。也就是说防火墙的安全性 具有滞后性。
精品课件
6. 1 6. 2 6. 3
6. 4 6. 5
本章内容
防火墙概述 防火墙的类型 防火墙的体系结构
防火墙配置 防火墙产品介绍
精品课件
6. 1
防古火时墙候概述，建造和使用木质结构的房
屋，为了在火灾发生时，防止火势蔓延，
人们将坚固的石块堆砌在房屋周围形成一
道墙作为屏障，这种防护构筑物被称之为
防火墙。
第6章 防火墙技术与应用
精品课件
学习目标
了解防火墙的基本概念 掌握防火墙的主要功能和缺陷 深入理解防火墙的工作原理和机制 掌握防火墙的分类 了解防火墙的基本部署 掌握防火墙的基本指标
精品课件
引导案例:
随着计算机信息技术的日益发展与完善，互联 网技术的普及和发展，给教育信息化工作的开展 提供了很多的便利，网络成为教育信息化的重要 组成部分。然而，网络的快速发展也给黑客提供 了更多的危及计算机网络信息安全的手段和方法， 网络信息安全成为人们关注的焦点。上海市某教 委计算机网络连接形式多样、终端分布不均匀且 具有开放性特点，容易受到攻击。因此，如何针 对该教委建立一个安全、高效的网络系统，最终 为广大师生提供全面服务，成为了迫切需要解决 的问题。
防火墙在网关位置过滤各种进出网络的数 据，以保护内部网络的主机。
精品课件
6.1.1 防火墙的概念
防火墙（Firewall）——是指隔离在内部网 络与外部网络之间的一道防御系统，它能挡 住来自外部网络的攻击和入侵，保障内部网 络的安全。
。
精品课件
UF3500/3100防火墙应用
三端口
集线器
NAT模式
➢ 防火墙是外部网络与受保护网络之间的惟一网络 通道，可以记录所有通过它的访问并提供网络使 用情况的统计数据。依据防火墙的日志，可以掌 握网络的使用情况，例如网络通信带宽和访问外 部网络的服务数据。防火墙的日志也可用于入侵 检测和网络攻击取证。
精品课件
➢ 由于网络上的数据流量是比较大的，这里 主要有两种解决方式：将日志挂接在内网 的一台专门存放日志的服务器上；将日志 直接存放在防火墙本身的服务器上。
(2) 禁止与安全规则相冲突的包通过防火墙，其 他通信包都允许。即除非明确禁止，否则允许。
精品课件
内部网络 受 到 禁 止通 信 流
允 许 通 过通 信 流
外部网络
通 信 被 禁止 ， 因 为 不 符合 安 全
禁止
规则
到 外 网 通信 允许
只 有 符 合安 全 规 则 通 信才 允 许
通过
禁止
访 问 指 定的 资 源 允许
网络质量服务(QoS)保障。 流量统计是建立在流量控制基础之上的，一般防
火墙对基于IP、服务、时间、协议等进行统计， 并可以与管理界面实现挂接，实时或一统计报表 的形式输出结果。
精品课件
URL级信息过滤 通常是代理模块的一部分，许多防火墙将其功能单独 的提取出来，但是实现是跟代理模块结合起来的。 它用来控制内部网络对某些站点的访问，如禁止某些 站点、禁止访问站点下的某些目录、只允许访问某些 站点或其下目录等。
精品课件
➢ 限制网络访问。防火墙只允许外部网络访问受保 护网络的指定主机或网络服务，通常受保护网络 中的Mail、FTP、WWW服务器等可让外部网络访问， 而其他类型的访问则予以禁止。防火墙也用来限 制受保护网络中的主机访问外部网络的某些服务， 例如某些不良网址。
精品课件
➢ 网络访问审计和预警。审计和预警是防火墙的在 配置好相关参数后作出的丢弃、拒绝或接受的重 要措施，防火墙的审计和预警机制在防火墙体系 中很重要。
精品课件
2. 防火墙的安全策略
防火墙是由一些软、硬件组合而成的网络访问控 制器，它根据一定的安全规则来控制流过防火墙的 网络包，如禁止或转发，能够屏蔽被保护网络内部 的信息、拓扑结构和运行状况，从而起到网络安全 屏障的作用。防火墙一般用来将内部网络与 Internet或者其他外部网络互相隔离，限制网络互 访，保护内部网络的安全，如图所示。
防火墙
图8-2 防火墙工作示意图
未知通信 规 定 允 许通 信
精品课件
防火墙 发展史
防火墙的发展简史
4. 第四代防火墙——具有安全操作系统的防火墙
3. 第三代防火墙——建立在通用操作系统上的防 火墙
2. 第二代防火墙——用户化的防火墙
1. 第一代防火墙——基于路由器的防火墙
精品课件
6.1.2 防火墙的功能与缺陷
精品课件
远程管理，管理界面一般完成对防火墙的 配置、管理和监控等工作。管理界面的设 计直接关系到防火墙的易用性和安全性。 目前防火墙主要有两种远程管理界面：Web 界面和GUI界面。
精品课件
NAT技术，该技术能够透明的对所有内部地址做转 换，使外部网络无法了解内部网络的内部结构， 同时使用NAT的网络与外部网络的连接只能有内部 网络发起，这极大的提高了内部网络的安全性。
软件防火墙是通过纯软件的方式来实现的
精品课件
防火墙可以是硬件
精品课件
防火墙也可以是软件
精品课件
外 部 网 络 ，1.防相火关墙概之念外 的 网 络 ， 如
Internet，默认为风险区域。
内部联网(Intranet)，防火墙之内的网络， 一般为局域网，如某个公司或组织的专用 网络，网络访问限制在组织内部。
取信息并导致不正确的访问。 数据驱动攻击，入侵者把一些具有破坏性的数据藏
匿在普通数据中传送到互联网主机上，当这些数据 被激活时就会发生数据驱动攻击。 IP地址欺骗，一种突破防的火墙系统的常用方法。 入侵者通过伪造的IP发送地址产生虚假的数据包， 乔装成来自内部网络数据。
精品课件
在安全区域划分的基础上，通过一种网络安全设 备，控制安全区域间的通信，就能实现隔离有害通 信的作用，进而可以阻断网络攻击。这种安全设备 的功能类似于防火使用的墙，因而人们就把这种安 全设备俗称为“防火墙”，它一般安装在不同的安 全区域边界处，用于网络通信安全控制，由专用硬 件或软件系统组成。
同时NAT技术另外一个显著的用途是解决了IP地址 匮乏的问题。
精品课件
代理 透明代理，主要是在内网主机需要访问外网主机
时，不需要做任何设置，完全意识不到防火墙的 存在而完成内外网的通信，但其基本原理是防火 墙截取内网主机与外网的通信，由防火墙本身完 成与外网的通信，然后把结果传回给内网主机。 传统代理，与透明代理类似，不同的是它需要在 客户端设置代理服务器，代理可以实现较高的安 全性，不足之处是响应缓慢。
防火墙UF3500/3100
路由器PCPC来自交换机WWW 服务器 FTP 服务器
Mail服务器
精品课件
➢ 在网络中，硬件防火墙是一种用来加强网络之 间访问控制的特殊网络互联设备，如路由器、 网关等。
➢ 它对两个或多个网络之间传输的数据包和连接 方式按照一定的安全策略进行检查，以决定网 络之间的通信是否被允许。
精品课件
防火墙并发连接数限制容易导致拥塞或者溢 出
由于需要判断并处理流经防火墙的每一个 数据包，所以防火墙在某些流量大，并发请 求多的情况下，很容易造成拥塞，称为整个 网络性能影响的瓶颈。而当防火墙溢出的时 候，整个防线就如同虚设，原本被禁止的连 接也能够通过。
精品课件
防火墙对服务器合法开放的端口的攻击大多 无法阻止；
精品课件
MAC与IP地址绑定，主要用于防止受控的内部用户 通过更换IP地址访问外网，因其实现简单，内部 只需要两个命令就可以实现，所以绝大多数防火 墙都提供了该项功能。
精品课件
流量控制和统计分析、流量计费 流量控制可以分为基于IP地址的控制和基于用户
的控制。 防火墙可以控制网络带宽的分配使用，实现部分
精品课件
外部网络
内部网络
路由器
防火墙
防火墙部署安装示意图
精品课件
防火墙根据网络包所提供的信息实现网络通信访 问控制：如果网络通信包符合网络访问控制策略，就 允许该网络通信包通过防火墙，否则不允许。防火墙 的安全策略有两种类型，即：
(1) 只允许符合安全规则的包通过防火墙，其他 通信包禁止。即除非明确允许，否则禁止。
军事缓冲区域，简称DMZ，该区域是介于内 部网络和外部网络之间的网络段，常放置 公共服务设备，向外提供信息服务。
精品课件
吞吐量，在不丢包的情况下单位时间内通 过防火墙数据包的数量，这是衡量防火墙 性能的重要指标。
最大连接数，该数据更贴近网络的实际情
况，网络中大多数连接数是指所建立的一
个虚拟通道。这也是衡量防火墙的一个重
攻击者利用服务器提供的服务进行缺陷攻 击，由于这些行为在防火墙看来是“合理合 法” 的，因此会被误判。
精品课件
防火墙对待内部主动发起连接的攻击一般无 法阻止
外紧内松是一般局域网的特点，或许一道 严密防守的防火墙内部网络是一片混乱的也 是可能的，通过发送带有木马的URL等方式， 然后由感染木马的主机主动对攻击者连接。 另外防火墙对内部主机间的攻击行为，爱莫 能助。