防火墙技术(第十八讲)(共3页)

精选优质文档-倾情为你奉上四川警安职业学院标准教案纸课程名称防火墙技术（第十八讲）任课教师陈 平授课时间地点多媒体授课班级07级人数32人教学目标1. 掌握防火墙的概念2. 了解使用防火墙的原因3. 掌握防火墙部署方案教学重点1. 防火墙的概念教学难点2. 防火墙部署方案教学时数2节教学方法讲授法、演示法、实践操作法教学手段多媒体教学教学内容：第1章 防火墙基础1.1 什么是防火墙？在计算机网络中，防火墙是一个保护一个网络免受其他网络攻击的屏障。具体地讲，防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。从技术角度来讲，防火墙是采用综合的网络技术（包过滤技术等）设置在被保护网络和外部网络（或公用网络）之间的一道屏障，用以分隔被保护网络与外部网络系统防止发生不可预测的、潜在破坏性的入侵。它是不同网络或网络安全域之间信息的唯一出入口，像在两个网络之间设置了一道关卡，能根据企业的安全政策控制出入网络的信息流，防止非法信息流入被保护的网络内，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。图1-1显示了一个简单的防火墙结构。在防火墙结构中，连接互联网的路由器（外部路由器）强迫所有流入的通信流量经过应用网关，而连接内部网络的路由器（内部路由器）仅仅接受来自应用网关的分组。实际上，网关控制着那些流入和流出内部网络的网络服务的传递。例如，防火墙只允许指定的用户连接到互联网，或者只允许特定的应用程序能够在内部主机和外部主机之间建立通信。如果被允许的服务是E-mail，那么只有E-mail的分组被允许通过路由器。这样不但保护了应用网关，也避免了未经认可的分组太多而造成负荷过载。1.2 使用防火墙的原因防火墙成为与不可信网络进行联系的唯一纽带，于是管理员就不再需要确保每一台主机的安全，他只要集中关注、配置防火墙就行了。这样并不是说防火墙里面的每个主机的自身安全就不重要，全部依靠防火墙的想法是不对的，因为防火墙只是提供了一层避免错误的额外保护而已。防火墙是一个优秀的审计员，它记录了流经它的所有流量和访问日志，那些包含在日志中的信息可以用来重新构建新的事件以防安全出现缺口，同时可以用来事后查证。防火墙可以减轻系统被用于非法和恶意目的的风险，可以保证网络的安全。防火墙可以防范一个网络或企业内的数据和信息三方面的风险： 机密性的风险，包括某方未经授权就访问的敏感数据或数据的过早泄露。 数据完整性的风险，包括未经授权就对数据进行修改，例如财务信息、产品特性或某网站上商品的价格。 可用性风险，系统可用性保证系统可以适时地为用户服务，那些不可用的系统导致公司损失了大量的财政收入和雇员的生产效率，同时也无形中挫伤了消费者对公司的信心，并损坏了公司的公众形象。总的来说，使用防火墙可以带来以下益处： 保护脆弱的服务 通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS，NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包。 控制对系统的访问防火墙可以提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Mail Server和Web Server。 集中的安全管理防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运行于整个内部网络系统，而无需在内部网的每台机器上分别设立安全策略。防火墙可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。 增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。 记录和统计网络利用数据以及非法使用数据使用防火墙可以记录和统计通过防火墙的网络通信，提供关于网络使用的统计数据，并且，防火墙可以提供统计数据来判断可能的攻击和探测。 策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时，网络安全取决于每台主机的用户。1.3 防火墙部署防火墙能有效地防止外来的入侵，它在网络系统中的作用是：控制进出网络的信息流向和信息包；提供使用和流量的日志和审计；隐藏内部IP地址及网络结构的细节；提供VPN功能。根据防火墙在网络系统中的作用和网络系统的安全需要，可以在如下位置部署防火墙： 局域网内的VLAN之间控制信息流向处。 Intranet与Internet之间连接处（企业单位与外网连接时的应用网关）。 在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac，ChinaDDN，Frame Relay等连接）在总部的局域网和各分支机构连接处采用防火墙隔离，并利用VPN构成虚拟专网。 总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用VPN组成虚拟专网。 在远程用户拨号访问时，加入虚拟专网。 ISP可利用负载平衡功能在公共访问服务器和客户端之间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。 两网对接时，可利用硬件防火墙作为网关设备实现地址转换（NAT）、地址映射（MAP）、网络隔离（DMZ）、存取安全控制、消除传统软件防火墙的瓶颈问题。下面是一个部署于网络边缘的防火墙实例，它用于控制进入网络的数据包的种类，图1-2是防火墙运用在一个企业网络的示意图。如图1-2所示，为了对进入网络实施访问控制功能，防火墙需要对要进入某个网络的每一个数据包进行检验，看其是否符合预先设定的规则（如允许HTTP报文进入而不允许ICMP报文进入），如果符合，那么就将其转发进入网络，否则，丢弃并根据需要作系统日志。防火墙需要对进入网络的所有报文进行过滤的功能决定了防火墙的实现和报文转发机制紧密相关。对于报文转发，目前主要的设备类型是数据链路层的交换机（如LAN Switch）或是网络层的路由器，所以，防火墙功能常常被集成到这些转发设备中。 作 业1. 什么是防火墙2. 根据防火墙在网络系统中的作用和网络系统的安全需要，防火墙一般部署在网络中什么位置？教学反馈专心-专注-专业