1、计算机网络安全基础-防火墙基础/1/一个典型的防火墙使用形态/进行访问规则检查/发起访问请求/合法请求则允许对外访问/将访问记录写进日志文件/合法请求则允许对外访问/发起访问请求/Internet 区域/Internet/边界路由器/防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录/计算机网络安全基础-防火墙基础/2/防火墙示意图/1/ 企业内联网/2/ 部门子网/3/ 分公司网络/计算机网络安全基础-防火墙基础/3/防火墙是什么/在一个受保护的内部网络与互联网间/用来强制执行企业安全策略的一个或一组系统/计算机网络安全基础-

2、防火墙基础/4/防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间/计算机网络安全基础-防火墙基础/5/防火墙概念（1/最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski(Internet Security公司总裁）： 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/

3、出两个方向的通信/计算机网络安全基础-防火墙基础/6/William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质： 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通/防火墙概念（2/计算机网络安全基础-防火墙基础/7/防火墙概念（3/简单的说，网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系

4、统安全的目的/计算机网络安全基础-防火墙基础/8/防火墙的概念（4/在逻辑上，防火墙是分离器，***器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。 在物理上，防火墙通常是一组硬件设备路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。 防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。如：加密和解密VPN/计算机网络安全基础-防火墙基础/9/防火墙概念（5/防火墙的实质是一对矛盾（或称机制)： ***数据流通 允许数据流通 两种极端的表现形式： 除了非允许不可的都被禁止，安全但不好用。（***政策） 除了非禁止不可的都被允许，好用但

5、不安全。（宽松政策） 多数防火墙都在两种之间采取折衷/计算机网络安全基础-防火墙基础/10/防火墙实现层次/计算机网络安全基础-防火墙基础/11/防火墙的基本功能模块/应用程序代理/***滤 管理进、出网络的访问行为； 封堵某些禁止的业务； 记录通过防火墙的信息内容和活动； 对网络攻击检测和告警/计算机网络安全基础-防火墙基础/69/防火墙产品发展的四个阶段/基于路由器的防火墙 用户化的防火墙工具套件 建立在通用操作系统上的防火墙 具有安全操作系统的防火墙/计算机网络安全基础-防火墙基础/70/第一代：基于路由器的防火墙/称为***滤防火墙 特征： 以访问控制表方式实现分组过滤 过滤的依据是IP地

6、址、端口号和其它网络特征 只有分组过滤功能，且防火墙与路由器一体/计算机网络安全基础-防火墙基础/71/第一代：基于路由器的防火墙(二/缺点： 路由协议本身具有安全漏洞 路由器上的分组过滤规则的设置和配置复杂 攻击者可假冒地址 本质***：一对矛盾，防火墙的设置会大大降低路由器的性能。 路由器：为网络访问提供动态灵活的路由 防火墙：对访问行为实施静态固定的控制/计算机网络安全基础-防火墙基础/72/***滤型防火墙/计算机网络安全基础-防火墙基础/73/第二代/用户化的防火墙工具套件/特征： 将过滤功能从路由器中***出来，并加上审计和告警功能； 针对用户需求提供模块化的软件包； 安全性提高，价格降

7、低； 纯软件产品，实现维护复杂。 缺点： 配置和维护过程复杂费时； 对用户技术要求高； 全软件实现，安全性和处理速度均有局限/计算机网络安全基础-防火墙基础/74/Internet客户通过代理服务访问内部网主机/计算机网络安全基础-防火墙基础/75/第三代：建立在通用操作系统上的防火墙/是近年来在市场上广泛可用的一代产品。 特征 包括分组过滤或借用路由器的分组过滤功能； 装有专用的代理系统，监控所有协议的数据和指令； 保护用户编程空间和用户可配置内核参数的设置； 安全性和速度大为提高/计算机网络安全基础-防火墙基础/76/实现方式：软件、硬件、软硬结合。 问题： 作为基础的操作系统及其内核的安

8、全性无从保证。 通用操作系统厂商不会对防火墙的安全性负责； 从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。 用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。 上述问题在基于Windows NT开发的防火墙产品中表现得十分明显/计算机网络安全基础-防火墙基础/77/***：具有安全操作系统的防火墙/1997年初，此类产品面市。 安全性有质的提高。 获得安全操作系统的方法： 通过许可证方式获得操作系统的源码； 通过固化操作系统内核来提高可靠性/计算机网络安全基础-防火墙基础/78/特点： 防火墙厂商具有操作系统的源代码，并可实现安全内核； 对安全内核实

9、现加固处理：即去掉不必要的系统特性，强化安全保护； 对每个服务器、子系统都作了安全处理； 在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能； 透明性好，易于使用/计算机网络安全基础-防火墙基础/79/***防火墙的主要技术与功能： 灵活的代理系统：两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接； 双端口或三端口结构； 网络地址转换技术（NAT） 虚拟专网技术（VPN/计算机网络安全基础-防火墙基础/80/安全服务器网络（SSN）：对外服务器既是内部网的一部分，又与内部网完全隔离。***防火墙采用分别保护的策略对向外提供服务的网络提供保护，它利用一张网卡将对

10、外服务器作为一个***网络处理。 用户鉴别与加密 用户定***务 审计和告警/计算机网络安全基础-防火墙基础/81/防火墙发展现状/防火墙是网络安全工具中最早成熟、最早产品化的。 防火墙产品是当前网络安全产品线中最为琳琅满目的一种。 The 1999 Information Security Industry Survey 统计对象：745个公司/计算机网络安全基础-防火墙基础/82/表 1/产品购买趋势/计算机网络安全基础-防火墙基础/83/如何选择防火墙/选择防火墙的标准有很多，但最重要的是以下几条： 1、总拥有成本 2、防火墙本身是安全的 3、是硬件还是软件 4、可扩充性 5、升级能力/计算

11、机网络安全基础-防火墙基础/84/天网防火墙/计算机网络安全基础-防火墙基础/85/天网防火墙/安全规则设置 这是系统最重要，也是最复杂的地方。可以非常灵活的设计合适自己使用的规则。 规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外/计算机网络安全基础-防火墙基础/86/工具条：点击上面的按钮来导入，增加，修改，删除规则。由于规则判断是由上而下的，可以通过点击调“规则上下移动”按钮调整规则的顺序，当调整好顺序后，可按保存按钮保存修改。当规则增加或修改后，为了让这些规则生效，还要点击”应用新规则“按钮。 规则列表 ：列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。 在列表的左边为该规则是否有效的标志，标记为钩表示改规则有效，否则表示无效。当改变这些标志后，按保存键/计算机网络安全基础-防火墙基础/87/天网防火墙/计算机