理解防火墙的作用
理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点
什么是防火墙？
为什么需要防火墙? 防火墙的功能
在网络间（内部/外部网
络、不同信息级别）提供
安全连接的设备；
用于实现和执行网络之间
公司网站
阻止来自不可信网络的攻击 保护关键数据的完整性
维护客户对企业或机构的信任
控制进出网络的信息流向和数据包，过滤不安全的服务；
隐藏内部IP地址及网络结构的细节；
这是最为普通的企业环境防火墙部署案例。

利用防火墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网(DMZ区)。

防火墙
Intranet
防火墙技术--防火墙的分类
防火墙从实现方式上来分 ，可分为硬件防火墙和软 件防火墙两类。

硬件防火 墙通常部署在内、外部网 络之间，通过软、硬件结 合的方式来达到隔离内、 外部网络的目的；软件防 火墙可以在一个独立的机 器上运行，通过一定的规 则来达到限制非法用户访 问的目的。

从技术的发展阶段来分看 ，防火墙可分为包过滤、 应用代理和状态检测等几 大类型。

状态检测 应用代理
包过滤 防火墙的发展阶段
11


防火墙技术--防火墙的工作模式 路由模式 透明模式 混合模式
12


防火墙技术--防火墙的工作模式
路由模式
192.168.1.254/24 防火墙 202.101.10.1/24
Intranet
内部网络 192.168.1.0/24 GW:192.168.1.254
路由器
Internet
外部网络 202.101.10.0/24 GW:202.101.10.1
13


防火墙技术--防火墙的工作模式 透明模式
Intranet
内部网络 192.168.1.0/24 GW:192.168.1.254
192.168.1.254/24
路由器
Internet
外部网络
14


防火墙技术--防火墙的工作模式
混合模式 工作于透明模式的防火墙可以实现透明接入，工 作于路由模式的防火墙可以实现不同网段的连接 。

但路由模式的优点和透明模式的优点是不能同 时并存的。

所以，大多数的防火墙一般同时保留 了透明模式和路由模式，根据用户网络情况及用 户需求，在使用时由用户进行选择。

15


防火墙技术--防火墙的相关技术 包过滤技术 应用代理技术 状态检测技术
16


防火墙的相关技术--包过滤（Packet filter）
在网络层检查数据包 简单的拒绝或接受策略模型 无法识别更高层协议
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 网络层 数据链路层 物理层
17
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层


防火墙的相关技术--包过滤（Packet filter）
包过滤防火墙具有以下特点： 优点:
只对数据包的 IP 地址、 TCP/UDP 协议和端 口进行分析，规则简单，处理速度较快
易于配置 对用户透明-用户访问时不需要提供额外的密
码或使用特殊的命令
缺点：
检查和过滤器只在网络层-不能识别应用层协 议或维持连接状态
安全性薄弱 –不能防止IP欺骗等
18


防火墙的相关技术—应用网关或代理（ Application Gateway or Proxy）
在应用层检查数据包 能够对应用或内容进行过滤 – 例如：禁止FTP的
“put”命令
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络网层络层 数据链路层 物理层
19
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层


防火墙的相关技术—应用网关或代理 （ Application Gateway or Proxy）
应用代理或网关防火墙具有以下特点：
优点：
可以检查应用层、传输层和网络层的协议特征，对 数据包的检测能力比较强
提供良好的安全性 - 所有数据的有效负载都在应 用层进行检查
缺点： 支持的应用数量有限，无法很好的支持新的应 用、技术和协议
对用户不透明度 性能表现欠佳
20


状态检测防火墙具有以下特点：
防火墙防外不防内；
防火墙难于管理和配置，易造成安全漏洞；
很难为用户在防火墙内外提供一致的安全策略；
安全性 高效性 适用性
制定符合实际情况的安全策略，并定期更新； 取消危险的系统调用，关闭多余的端口；
限制命令的执行权限；
理解审计和监控的基本概念
理解入侵检测基本概念和工作原理 理解入侵检测的分类
攻击的类型：
预防入侵
▪
检测入侵
▪
对入侵做出响应▪
Intranet
NIDS
NIDS
入侵检测系统的告知模型－－
入侵检测系统的通用模型－－
事件生成器
建立入侵行为模型(攻击特征)；
假设可以识别和表示所有可能的特征； 基于系统的和基于用户；
使用的检测方法。