【正文】 目的： 都是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。 ? IGMP（ Inter Group Management Protocol） ——Inter組管理協(xié)議。 ? 地址分類： A～ E類地址；子網(wǎng)劃分 (P35) ? IPv4數(shù)據(jù)報(bào)格式（ P32） ? TCP數(shù)據(jù)包格式（ P36） ? TCP的三次握手和和四次揮手過程（ P40 圖 1320） ? UDP數(shù)據(jù)包格式（ P43） 包與協(xié)議 ? ICMP（ Inter Control Message Protocol） —— Inter控制報(bào)文協(xié)議。 河北工程大學(xué) 網(wǎng)絡(luò)安全技術(shù) 通信與信息工程系 劉光遠(yuǎn) 2022年 3月 第二章 防火墻技術(shù) 防火墻概述 防火墻的體系結(jié)構(gòu) 防火墻的實(shí)現(xiàn)技術(shù) TCP/IP基礎(chǔ) 2 防火墻技術(shù)展望 TCP/IP基礎(chǔ) 1 基本概念 2 包與協(xié)議 3 TCP和 UDP常用端口 4 TCP/IP協(xié)議歷史 5 常用網(wǎng)絡(luò)命令 TCP/IP協(xié)議歷史 ? TCP/IP起源于 20世紀(jì) 70年代中期， ARPA資助網(wǎng)間網(wǎng)技術(shù)的研究開發(fā)，并于 1977～ 1979年間推出了與目前形式一樣的TCP/IP體系結(jié)構(gòu)和協(xié)議規(guī)范； ? 1980年前后， TCP/IP應(yīng)用在 ARPANET上； ? 1983年加州 Berkeley大學(xué)推出了內(nèi)含 TCP/IP的 BSD NUIX； ? 1985年 NSF采用 TCP/IP建設(shè) NSFNET； ? TCP/IP成為 20世紀(jì) 90年代因特網(wǎng)的主要協(xié)議。 通過 IP層收發(fā) ICMP報(bào)文，用于報(bào)告在傳輸報(bào)文的過程中發(fā)生的各種情況。 該協(xié)議用于控制多播（或稱為組播） —— 有目的地直接向一臺(tái)或多臺(tái)主機(jī)發(fā)送包的過程。 什么是防火墻 ? 防火墻可在鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層上實(shí)現(xiàn)； ? 其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡(luò)和對進(jìn)出信息流實(shí)施訪問控制。 防火墻的分類 ? 不等同于采用專用芯片的純硬件防火墻，但和純軟件防火墻有很大差異 ； ? 一般由小型的防火墻廠商開發(fā)，或者是大型廠商開發(fā)的中低端產(chǎn)品，應(yīng)用于中小型企業(yè)，功能比較全，但性能一般； ? 一般都采用 PC架構(gòu)（就是一臺(tái)嵌入式主機(jī)），但使用的各個(gè)配件都量身定制 。 ? 防火墻的使用也會(huì)削弱網(wǎng)絡(luò)的功能： ① 由于防火墻的隔離作用，在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí)使它與外部網(wǎng)絡(luò)的信息交流受到阻礙； ② 由于在防火墻上附加各種信息服務(wù)的代理軟件，增大了網(wǎng)絡(luò)管理開銷，還減慢了信息傳輸速率，在大量使用分布式應(yīng)用的情況下，使用防火墻是不切實(shí)際的。 雙宿主機(jī) 內(nèi) 部 網(wǎng) 絡(luò)I n t e r n t雙 宿 主 機(jī)防 火 墻雙宿主機(jī) ? 在被保護(hù)網(wǎng)絡(luò)和 Inter之間設(shè)置一個(gè)具有雙網(wǎng)卡的堡壘主機(jī)， IP層的通信完全被阻止，兩個(gè)網(wǎng)絡(luò)之間的通信可以通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成 ? 通常采用代理服務(wù)的方法 ? 堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序和提供服務(wù)等 優(yōu)缺點(diǎn)： ? 堡壘主機(jī)的系統(tǒng)軟件可用于身份認(rèn)證和維護(hù)系統(tǒng)日志，有利于進(jìn)行安全審計(jì) ? 該方式的防火墻仍是網(wǎng)絡(luò)的 “ 單失效點(diǎn) ” 。 ? 依據(jù)在系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（通常稱為訪問控制表 ——Access Control List）對數(shù)據(jù)流中每個(gè)數(shù)據(jù)包 包頭 中的參數(shù)或它們的組合進(jìn)行檢查，以確定是否允許該數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。當(dāng)此連接請求得到回應(yīng)并建立起連接之后，內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過代理程序把相應(yīng)連接進(jìn)行映射來實(shí)現(xiàn)。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。 無法滿足實(shí)際的應(yīng)用需求 —— PAT（端口地址轉(zhuǎn)換 /翻譯） 網(wǎng)絡(luò)地址轉(zhuǎn)換（ 3/4） ? PAT：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè) IP地址的不同端口上。） 防火墻性能測試簡介 性能測試標(biāo)準(zhǔn)： RFC 2544（ 23層）和 RFC 3511（ 47層） ? 吞吐量：網(wǎng)絡(luò)設(shè)備在不丟失任何一個(gè)幀情況下的最大轉(zhuǎn)發(fā)速率。 補(bǔ)充 創(chuàng)建防火墻的步驟 ? 指定安全策略 ? 搭建安全體系結(jié)構(gòu) ? 落實(shí)規(guī)則集及規(guī)則次序 ? 更換控制 ? 審計(jì)工作 ? 防火墻實(shí)例 （ 1） 360安全衛(wèi)士 （ 2）天網(wǎng)防火墻 360安全衛(wèi)士 360安全衛(wèi)士 天網(wǎng)防火墻 天網(wǎng)防火墻 思考題 防火墻系統(tǒng)方案設(shè)計(jì) ? 某企業(yè)下設(shè)有計(jì)劃部、生產(chǎn)部、市場部、財(cái)務(wù)部、人事部等。 比較： ? 靜態(tài)地址翻譯：不需要維護(hù)地址轉(zhuǎn)換狀態(tài)表，功能簡單，性能較好； ? 動(dòng)態(tài)轉(zhuǎn)換和端口轉(zhuǎn)換：必須維護(hù)一個(gè)轉(zhuǎn)換表，以保證能夠?qū)Ψ祷氐臄?shù)據(jù)包進(jìn)行正