大连理工大学(城市学院)网络安全技术期末知识点第六章

第六章：防火墙技术一．防火墙的发展历程1.防火墙概述在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。.防火墙的功能：实现内部网与internet的隔离；不同安全级别内部网之间的隔离。防火墙的功能（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄防火墙的基本特性（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙（2）只有符合安全策略的数据流才能通过防火墙（3）防火墙自身应具有非常强的抗攻击免疫力常用概念外部网络（外网）：防火墙之外的网络，一般为Internet，默认为风险区域。内部网络（内网）：防火墙之内的网络，一般为局域网，默认为安全区域。非军事化区（DMZ）：为了配置管理方便，内网中需要向外网提供服务的服务器（如、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。包过滤，也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。代理服务器，是指代表内部网络用户向外部网络中的服务器进行连接请求的程序DMZ简介DMZ网络访问控制策略（1）内网可以访问外网，内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。（2）内网可以访问DMZ，此策略是为了方便内网用户使用和管理DMZ中的服务器。（3）外网不能访问内网，很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。（4）外网可以访问DMZ，DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。（5）DMZ不能访问内网，很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。（6）DMZ不能访问外网，此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。2.防火墙的技术发展•利用路由器本身对分组的解析,进行分组过滤•过滤判断依据：地址、端口号、IP旗标及其它网络特征•防火墙与路由器合为一体，只有过滤功能•适用于对安全性要求不高的网络环境•将过滤功能从路由器中独立出来，并加上审计和告警功能•针对用户需求，提供模块化的软件包•软件可通过网络发送，用户可根据需要构造防火墙•与第一代防火墙相比，安全性提高了，价格降低了•是批量上市的专用防火墙产品•包括分组过滤或者借用路由器的分组过滤功能•装有专用的代理系统，监控所有协议的数据和指令•保护用户编程空间和用户可配置内核参数的设置•安全性和速度大为提高。•防火墙厂商具有操作系统的源代码，并可实现安全内核•去掉了不必要的系统特性，加固内核，强化安全保护•在功能上包括了分组过滤、应用网关、电路级网关•增加了许多附加功能：加密、鉴别、审计•透明性好，易于使用防火墙的种类分组过滤/包过滤（Packetfiltering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。状态检查：状态检测防火墙工作于网络层，与包过滤防火墙相比，状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址，目的IP地址，源端口，目的端口和通讯协议等。与包过滤防火墙不同的是，状态检测防火墙是基于会话信息做出决策的，而不是包的信息。应用代理（ApplicationProxy）：也叫应用网关（ApplicationGateway）,它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。防火墙的技术发展Telnet例子SMTP例子包过滤防火墙的特点实现容易数据吞吐率较高易配置对应用完全透明对会话内容无法监控，安全性能较低应用代理防火墙的特点可以对应用层数据进行处理对数据包的检测能力比较强双向通信必须经过应用代理，禁止IP转发难于配置处理速度慢状态包过滤防火墙的特点可重组会话，记录会话状态可以对网络数据进行更细粒度的检测数据吞吐率较高对会话内容的处理不够3.防火墙硬件平台的发展X86平台开发难度小投资少，开发周期短灵活性好，升级方便处理性能较低ASIC平台处理性能很高开发难度大投资很大，开发周期很长灵活性很差，几乎无法升级NP平台处理性能较高开发灵活性高开发难度大投资较大，开发周期较长三种技术路线比较技术路线比较项目通用CPUASICNP技术成熟度成熟成熟基本成熟投资成本低很高较高开发周期短很长较长处理性能低很高高灵活性好很差好总结●技术成熟●开发难度低●处理性能上不去●处理性能很高●开发周期长/投资大●灵活性差●处理性能高●灵活性好●投资较小/周期较短4.防火墙硬件平台的发展防火墙关键技术访问控制NATVPNNAT技术端口映射VPNVPN防火墙评价指标性能功能可靠性易用性评价防火墙性能的六个指标性能指标定义重要程度吞吐量单位时间内通过防火墙的数据包数量（不丢包）★★★★★最大并发连接数防火墙可同时维护的网络连接数★★★背靠背防火墙对网络数据包的缓存能力★★新建连接速率防火墙建新连接的快慢程度★★★★延迟防火墙处理和转发数据包所需要的时间★★★★丢包率丢包数占发送包总数的比例（吞吐量范围内）★★★防火墙的部署纯路由纯透明混合典型应用1.防火墙和防火墙规则集只是()的技术体现A、需求策略B、安全策略C、加密策略D、解密策略2.包过滤防火墙的特点，以下说法不对的是()A、速度快B、速度慢C、性能高D、对应用程序透明3.以下哪项不是代理防火墙具有的缺点（）。A、禁止IP转发B、难于配置C、处理速度慢D、安全性能较低4.以下选项中，那个不是状态检测防火墙的优点()A、可重组会话，记录会话状态B、可以对网络数据进行更细粒度的检测C、数据吞吐率较高D、对数据包的检测能力比较强5.防火墙是使用最广泛的网络安全工具，是网络安全的()，用以防止外部网络的未授权访问A、第一道防线B、第二道防线C、第三道防线D、第四道防线6.以下选项中，那个不是DMZ网络访问控制策略（）A、内网可以访问外网。B、内网可以访问DMZ。C、DMZ可以访问内网。D、外网可以访问DMZ。7.以下选项中，那个不是X86平台的优点（）A、开发难度小。B、投资少，开发周期短。C、灵活性好，升级方便。D、处理性能较高8.防火墙中NAT功能的主要作用是（）A提供代理服务B防止病毒入侵C进行入侵检测D隐藏内部网络地址9.包过滤防火墙对应用层是透明的，增加这种防火墙不需要对应用软件做任何改动。A应用层B传输层C网络层D数据链路层10.对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种防火墙技术称为()(A)包过滤技术(B)状态检测技术(C)代理服务技术(D)以上都不正确1.防火墙基本概念2.防火墙的功能3.防火墙的基本特性4.DMZ网络访问控制策略5.防火墙的种类及各自的特点6.防火墙硬件平台的种类7.防火墙关键技术8.评价防火墙性能的指标