信息安全第11章防火墙

时间：2025-04-20

第11章防火墙

主要内容防火墙的原理 11.2 防火墙的分类 11.3 防火墙技术 11.4 防火墙的体系结构 11.5 防火墙的局限性 11.1

为什么需要防火墙Internet的开放性导致网络安全威胁无处不在未授权资源访问 ARP攻击泛滥拒绝服务攻击各种协议漏洞攻击 Internet 非法资源访问 …… 没有防火墙的 Internet千疮百孔

11.1 防火墙的原理 Willam

Cheswick和 steven Beellovin:防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合，它满足以下条件：内部和外部之间的所有网络数据流必须经过防火

墙；有符合安全政策的数据流才能通过防火墙；防火墙自身能抗攻击。

防火墙可以是在可信任网络和不可信任网络

之间的一个缓冲系统，它可以是一台有访问控制策略的路由器，或者一台多个网络接口的计算机、也可以是安装在某台特定机器上的软件。它被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。内部网络外部网络

防火墙

防火墙的基本功能服务控制：确定哪些服务可以被访问；方向控制：对于特定的服务，可以确定允许

哪个方向能够通过防火墙；用户控制：根据用户来控制对服务的访问；行为控制：控制一个特定的服务的行为。

防火墙在网络中的位置

防火墙多应用于一个局域网的出口处 (如图(a)所示)或置于两个网络中间 (如图(b)所示)。

防火墙在网络中的位置

安全域—为什么需要安全域？

传统防火墙通常都基于接口进行策略配置，网络管理员需要为每一个接口配置安全策略。防火墙的端口朝高密度方向发展，基于接口的策略配置方式给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率。配置维护太复杂了！教学楼 #1 教学楼 #2 教学楼 #3 服务器群办公楼 #1

办公楼 #2实验楼 #1 实验楼 #2 宿舍楼 Internet

安全域—什么是安全域？将安全需求相同的接口划分到不同的域，

实现策略的分层管理。Trust教学楼办公楼实验楼宿舍楼Internet

防火墙

Untrust

配置维护简单多了！

DMZWeb服务器 FTP服务器邮件服务器

打印服务器

信赖域和非信赖域 2. 信赖主机和非信赖主机 3、DMZ DMZ(Demilitarized zone)称为“隔离区”或“非军事化区”,它是介于信赖域和非信赖域之间的一个安全区域。 1.

安全域—域间策略DMZ

Trust区域的市场部门员工在上班时间可以访问Internet Untrust区域在任何时候都不允许访问DMZ区域的邮件服务器 Trust区域的研发

部门员工在任何时候都可以访问DMZ区域的Web服务器

Trust市场部门 129.111.0.0/16

Web Server Mail Server

UntrustInternet 研发部门 129.112.0.0/16Source Zone Trust Trust Untrust Trust Destination Zone Untrust Untrust DMZ DMZ Source IP/Mask 129.111.0.0/16 any any 129.112.0.0/16

防火墙域间策略Destination IP/Mask any any Service any any MAILHTTP/HTTPS

Time Range每周一到周五的8:30到18:00

Action permit deny deny permit

any any any

使用防火墙后的网络组成

防火墙的实施策略一切未被禁止的就是允许的(Yes规则) 确定那些被认为是不安全的服务，禁止其访问；

而其他服务则被认为是安全的，允许访问。一切未被允许的就是禁止的(No规则) 确定所有可以被提供的服务以及它们的安全性，

然后开放这些服务，并将所有其他未被列入的服务排除在外，禁止访问。

11.2 防火墙的分类根据防火墙形式分类根据实现原理分类根据防火墙结构分类按照防火墙应用部署分类

根据防火墙形式分类

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计

算机操作系统的支持