防火墻的基本工作原理

1、教學要求：理解防火墻的基本工作原理，了解防火墻所采用的基本技術。教學重點：防火墻的基本工作原理教學難點：基本概念的理解教學過程：防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，有選擇地接受外部訪問，對內部強化設備監(jiān)管、控制對服務器與外部網絡的訪問，在被

2、保護網絡和外部網絡之間架起一道屏障，以防止發(fā)生不可預測的、潛在的破壞性侵入。防火墻有兩種，硬件防火墻和軟件防火墻，他們都能起到保護作用并篩選出網絡上的攻擊者。在這里主要給大家介紹一下我們在企業(yè)網絡安全實際運用中所常見的硬件防火墻。1、防火墻技術防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務。下面，我們將介紹這些手段的工作機理及特點，并介紹一些防火墻的主流產品。包過濾技術是一種簡單、有效的安全控制技術，它通過在網絡間相互連接

3、的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設備的數據包進行檢查，限制數據包進出內部網絡。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全控制層次在網絡層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全控制，對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全

4、規(guī)則，允許符合規(guī)則的連接通過，并在內存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數據包，只要符合狀態(tài)表，就可以通過。這種方式的好處在于：由于不需要對每個數據包進行規(guī)則檢查，而是一個連接的后續(xù)數據包（通常是大量的數據包）通過散列算法，直接進行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使得安全性得到進一步地提高。2、防火墻工作原理(1)包過濾防火墻包過濾防火墻

5、一般在路由器上實現，用以過濾用戶定義的內容，如IP地址。包過濾防火墻的工作原理是：系統在網絡層檢查數據包，與應用層無關。這樣系統就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有（狀態(tài)檢測防火墻工作原理圖）(4)復合型防火墻復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽

6、在網絡流量里的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施。（復合型防火墻工作原理圖）3、四類防火墻的對比包過濾防火墻：包過濾防火墻不檢查數據區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報文無關，應用層控制很弱。應用網關防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網絡層保護比較弱。狀態(tài)檢