防火墙的概念 网络防火墙隔离了内部网络和外部网络,在企业内部网 和外部网(nternet)之间执行访问控制策略,以防止发生 不可预测的、外界对内部网资源的非法访问或潜在的破 坏性侵入。 防火墙被设计成只运行专门用于访问控制软件的设备, 而没有其他服务,具有相对较少的缺陷和安全漏洞。此 外,防火墙改进了登录和监测功能,可以进行专用的管 理。如果采用了防火墙,内部网中的计算机不再直接暴 露给来自Internet的攻击。 因此,对整个内部网的主机的安全管理就变成了对防火 墙的安全管理,使得安全管理更方便,易于控制。防火 墙是目前实现网络安全策略的最有效的工具之一,也是 控制外部用户访问内部网的第一道关口。 信息安全导论08 7
防火墙的概念 • 网络防火墙隔离了内部网络和外部网络,在企业内部网 和外部网(Internet)之间执行访问控制策略,以防止发生 不可预测的、外界对内部网资源的非法访问或潜在的破 坏性侵入。 • 防火墙被设计成只运行专门用于访问控制软件的设备, 而没有其他服务,具有相对较少的缺陷和安全漏洞。此 外,防火墙改进了登录和监测功能,可以进行专用的管 理。如果采用了防火墙,内部网中的计算机不再直接暴 露给来自Internet的攻击。 • 因此,对整个内部网的主机的安全管理就变成了对防火 墙的安全管理,使得安全管理更方便,易于控制。防火 墙是目前实现网络安全策略的最有效的工具之一,也是 控制外部用户访问内部网的第一道关口。 信息安全导论08 7
8.1.2防火墙的特性 ·一般而言,防火墙的设计目标有以下几个: ·()针对所有的通信,无论是从内部到外部还是 从外部到内部的,都必须经过防火墙。这一点可 以通过阻塞所有未通过防火墙的对本地网络的访 问来实现 ·(2)只有被授权的通信才能通过防火墙,这些授 权将在本地安全策略中规定。不同类型的防火墙 实现不同的安全策略。 ·3)防火墙本身对于渗透必须是免疫的。这意味 着必须使用运行安全操作系统的可信系统。 信息安全导论08 8
8.1.2 防火墙的特性 • 一般而言,防火墙的设计目标有以下几个: • (1)针对所有的通信,无论是从内部到外部还是 从外部到内部的,都必须经过防火墙。这一点可 以通过阻塞所有未通过防火墙的对本地网络的访 问来实现。 • (2)只有被授权的通信才能通过防火墙,这些授 权将在本地安全策略中规定。不同类型的防火墙 实现不同的安全策略。 • (3)防火墙本身对于渗透必须是免疫的。这意味 着必须使用运行安全操作系统的可信系统。 信息安全导论08 8
防火墙采用的4项常用技术 T 服务控制:决定哪些Internet)服务可以被访问,无论这 些服务是从内而外还是从外而内。防火墙可以以P地 址和TCP端口为基础过滤通信;也可以提供代理软件, 在服务请求通过防火墙时接收并解释它们;或者执行 服务器软件的功能,比如邮件服务。 方向控制:决定在哪些特定的方向上服务请求可以被 发起并通过防火墙。 用户控制:根据用户正在试图访问的服务器,来控制 其访问。这个技术特性主要应用于防火墙网络内部的 用户(本地用户),也可以应用到来自外部用户的通 信。后者要求某种形式的安全认证技术,如IPSec。 行为控制:控制一个具体的服务怎样被实现。例如, 防火墙可以通过过滤邮件来清除垃圾邮件。它也可能 只允许外部用户访问本地服务器的部分信息。 信息安全导论08 9
防火墙采用的4项常用技术 ① 服务控制:决定哪些Internet服务可以被访问,无论这 些服务是从内而外还是从外而内。防火墙可以以IP地 址和TCP端口为基础过滤通信;也可以提供代理软件, 在服务请求通过防火墙时接收并解释它们;或者执行 服务器软件的功能,比如邮件服务。 ② 方向控制:决定在哪些特定的方向上服务请求可以被 发起并通过防火墙。 ③ 用户控制:根据用户正在试图访问的服务器,来控制 其访问。这个技术特性主要应用于防火墙网络内部的 用户(本地用户),也可以应用到来自外部用户的通 信。后者要求某种形式的安全认证技术,如IPSec。 ④ 行为控制:控制一个具体的服务怎样被实现。例如, 防火墙可以通过过滤邮件来清除垃圾邮件。它也可能 只允许外部用户访问本地服务器的部分信息。 信息安全导论08 9
防火墙具有的典型功能 ()访问控制功能。这是防火墙最基本和最重要 的功能,通过禁止或允许特定用户访问特定资源, 保护内部网络的资源和数据。防火墙定义了单一 阻塞点,它使得未授权的用户无法进入网络,禁 止潜在的、易受攻击的服务进入网络 (2)内容控制功能。根据数据内容进行控制,比 如过滤垃圾邮件、限制外部只能访问本地Web服 务器的部分功能等 (3)日志功能。防火墙需要完整地记录网络访问 的情况,包括进出内部网的访问。一旦网络发生 了入侵或者遭到破坏,可以对日志进行审计和查 询,查明事实。 信息安全导论08 10
防火墙具有的典型功能 • (1)访问控制功能。这是防火墙最基本和最重要 的功能,通过禁止或允许特定用户访问特定资源, 保护内部网络的资源和数据。防火墙定义了单一 阻塞点,它使得未授权的用户无法进入网络,禁 止潜在的、易受攻击的服务进入网络。 • (2)内容控制功能。根据数据内容进行控制,比 如过滤垃圾邮件、限制外部只能访问本地Web服 务器的部分功能等。 • (3)日志功能。防火墙需要完整地记录网络访问 的情况,包括进出内部网的访问。一旦网络发生 了入侵或者遭到破坏,可以对日志进行审计和查 询,查明事实。 信息安全导论08 10
防火墙具有的典型功能 (4)集中管理功能。针对不同的网络情况和安全 需要,指定不同的安全策略,在防火墙上集中实 施,使用中还可能根据情况改变安全策略。防火 墙应该是易于集中管理的,便于管理员方便地实 施安全策略。 (⑤)自身安全和可用性。防火墙要保证自己的安 全,不被非法侵入,保证正常的工作。如果防火 墙被侵入,安全策略被破坏,则内部网络就变得 不安全。防火墙要保证可用性,否则网络就会中 断,内部网的计算机无法访问外部网的资源。 另外,防火墙可能还具有流量控制、网络地址转 换NAT)、虚拟专用网(VPN)等功能。 信息安全导论08 11
防火墙具有的典型功能 • (4)集中管理功能。针对不同的网络情况和安全 需要,指定不同的安全策略,在防火墙上集中实 施,使用中还可能根据情况改变安全策略。防火 墙应该是易于集中管理的,便于管理员方便地实 施安全策略。 • (5)自身安全和可用性。防火墙要保证自己的安 全,不被非法侵入,保证正常的工作。如果防火 墙被侵入,安全策略被破坏,则内部网络就变得 不安全。防火墙要保证可用性,否则网络就会中 断,内部网的计算机无法访问外部网的资源。 • 另外,防火墙可能还具有流量控制、网络地址转 换(NAT)、虚拟专用网(VPN)等功能。 信息安全导论08 11