课程简介
授课形式 课程讲授+上机实习 成绩给定办法 期末考试成绩 70% 到课、课堂作业、上机实习 30% 上课时间 2-16周 周三5-6节 实验 第十二、十三、十四、十五周 地点 授课 10J317 上机 12J214 授课班级 网络0901、0902、0903、09Q1
会话层 传输层 网络层 数据连路层 物理层 电路级 路由器级 网桥级 中继器级
防火墙的理论特性
1 创建阻塞点
根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于网络系统 的边界（network boundary），属于用户内部网络边界安全保护设备。所谓网 络边界就是采用不同安全策略的两个网络连接位置。 防火墙就是在网络的外边界或周边，在内部网络和外部网络之间建立的唯一 一个安全控制检查点，通过允许、拒绝或重新定向经过防火墙的数据流，实现 对进、出内部网络的服务和访问的审计和控制。从而实现防止非法用户进入内 部网络，禁止存在安全脆弱性的服务进出网络，并抵抗来自各种路线的攻击， 进而提高被保护网络的安全性，降低风险。这样一个检查点被称为阻塞点。这 是防火墙所处网络位置特性，同时也是一个前提。如果没有这样一个供监视和 控制信息的点，系统管理员要在大量的地方来进行监测。 在某些文献里，防火墙又被称为内部网络与外部网络之间的单联系点。需要 注意的是，虽然存在着许多的多接入点网络，但是每个出口也都要有防火墙设 备，因此从逻辑上看，防火墙还是内部网络与外部网络之间的唯一联系点。
在被入侵攻击后，收集入侵攻击的相关信息，作为防范
系统的知识，添加到知识库中，增强防范能力，避免系 统再次受到入侵。
防火墙基础知识
防火墙的定义－－ 什么是防火墙
防火墙的位置－－所处的逻辑位置和物理位置 防火墙的理论特性和实际功能
防火墙的规则－－防火墙的灵魂－－“过滤规则”
防火墙的分类－－多种分类方法
相关技术和理论都是网络安全的研究内容。
防火墙
建立在现代通信网络技术和信息安全技术基础上的应
用性安全技术，越来越多地应用于专用网络与公用网 络的互联环境之中。 特征：
网络位置特性

内部网络和外部网络之间的所有网络数据都必须经过防火墙 只有符合安全策略的数据才能通过防火墙 防火墙自身应具有非常强的扛攻击能力
防火墙的实际功能
1 包过滤

网络通信通过计算机之间的连接实现，而连接则是由两台主 机之间相互传送的若干数据包组成。防火墙的基本功能之一 就是对由数据包组成的逻辑连接进行过滤，即包过滤。数据 包的过滤参数有很多，最基本的是通信双方的IP地址和端口 号。随着过滤技术的不断发展，各层网络协议的头部字段以 及通过对字段分析得到的连接状态等等内容都可以作为过滤 技术考察的参数。包过滤技术也从早期的静态包过滤机制发 展到动态包过滤、状态检测等机制。总的说来，现在的包过 滤技术主要包括针对网络服务的过滤以及针对数据包本身的 过滤。
所有防火墙均依赖于对 ISO OSI/RM 网络七层模型中各层协议所产生 的信息流进行检查。一般说来，防火墙越是工作在 ISO OSI/RM模型的上 层，能检查的信息就越多，其提供的安全保护等级就越高。
防火墙与网络层次关系如下表所示： ISO OSI/RM七层模型 应用层 防火墙级别 网关级
表示层
防火墙的定义


从广泛、宏观的意义上说，防火墙是隔离在内部网络与外部网络之间的一个 防御系统。
AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确 定义，他们认为防火墙是位于两个网络之间的一组构件或一个系统，具有以下 属性：

防火墙是不同网络或者安全域之间信息流的唯一通道，所有双向数据流 必须经过防火墙。 只有经过授权的合法数据，即防火墙安全策略允许的数据才可以通过防 火墙。 防火墙系统应该具有很高的抗攻击能力，其自身可以不受各种攻击的影 响。

简而言之，防火墙是位于两个(或多个)网络间，实施访问控制策略的一个 或一组组件集合。
防火墙的物理位置
从设备部署位置上看，防火墙要部署在本地受保护区域与外部网 络的交界点上。
从具体的实现上看，防火墙运行在任何要实现访问控制功能的设 备上。
下图为防火墙在网络中的常见位置：
防火墙的逻辑位置
防火墙的逻辑位置指的是防火墙与网络协议相对应的逻辑层次关系。 处于不同网络层次的防火墙实现不同级别的网络过滤功能，表现出来的 特性也不同。
工作原理特性
先决条件 Nhomakorabea侵检测 80%以上的入侵来自于网络内部
由于性能的限制，防火墙通常不能提供实时的入侵检
测能力，对于来自内部网络的攻击，防火墙形同虚设 入侵检测是对防火墙及其有益的补充
在入侵攻击对系统发生危害前检测到入侵攻击，并利用
报警与防护系统驱逐入侵攻击 在入侵攻击过程中，能减少入侵攻击所造成的损失
网络安全
网络安全是指网络系统的软件、硬件及其存储的数据处于
保护状态，网络系统不会由于偶然的或者恶意的冲击而受 到破坏，网络系统能够连续可靠地运行。
网络安全是一门涉及计算机科学、网络技术、通信技术、
密码技术、信息安全技术、应用数学、信息论等多研究领 域的综合性学科。
凡是涉及网络系统的保密性、完整性、可用性和可控性的
防火墙的实际功能
2 代理 代理技术是与包过滤技术截然不同的另外一种防火墙 技术。这种技术在防火墙处将用户的访问请求变成由防 火墙代为转发，外部网络看不见内部网络的结构，也无 法直接访问内部网络的主机。在防火墙代理服务中，主 要有两种实现方式：一是透明代理（Transparent proxy），指内部网络用户在访问外部网络的时候，本 机配置无需任何改变，防火墙就像透明的一样；二是传 统代理，其工作原理与透明代理相似，所不同的是它需 要在客户端设置代理服务器。相对于包过滤技术，代理 技术可以提供更加深入细致的过滤，甚至可以理解应用 层的内容，但是实现复杂且速度较慢。
防火墙的理论特性
2 强化网络安全策略，提供集成功能
防火墙设备所处的位置，正好为系统提供了一个多种安全技术的集 成支撑平台。通过相应的配置，可以将多种安全软件，譬如口令检查、 加密、身份认证、审计等，集中部署在防火墙上。与分散部署方案相 比，防火墙的集中安全管理更经济、更加有效，简化了系统管理人员 的操作，从而强化了网络安全策略的实行。