4.3简易防火墙的设置及使用 课件 2022—2023学年粤教版（2019）高中信息技术选修2（29张PPT）

(共29张PPT)
4.3简易防火墙的设置及使用
4.3.1 防火墙的原理与作用
4.3.2 防火墙的设置及使用
目录
引入
随着Internet的日益普及，开放式的网络带来了许多不安全的隐患。在开放式的网络上，我们的周围存在着许多不能信任的计算机(包括在一个LAN之间)，这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。
在大厦的构造中，防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的:“防止Internet的危险传播到你的内部网络”
什么是防火墙？
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。
什么是防火墙？
防火墙(Fire Wall)：网络安全的第一道防线，是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
防火墙 = 硬件 +软件 +控制策略
宽松控制策略:除非明确禁止，否则允许。
限制控制策略:除非明确允许，否则禁止。
防火墙的原理
防火墙是一项协助确保信息安全的设备，它主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
防火墙的原理
防火墙最基本原理就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。典型信任的区域包括互联网和一个内部网络。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
防火墙在安全体系中的位置
防火墙的功能
网络安全的屏障
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙的功能
强化网络安全策略
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。
防火墙的功能
监控审计
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防火墙的功能
防止内部信息的外泄
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务性的企业内部网络技术体系VPN（虚拟专用网）。
防火墙的功能
日志记录与事件通知
进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。
防火墙的基本功能模块
防火墙和路由器的差异
防火墙的类型
大致可以分为三类
包过滤防火墙
代理服务器防火墙
状态监视器防火墙
包过滤防火墙
包过滤防火墙的工作原理：采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址，目的地址，所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。
包过滤防火墙的优点：
价格比较低
对用户透明
对网络性能的影响很小、速度快、易于维护。
包过滤防火墙的缺点：
包过滤配置起来比较复杂
对IP欺骗式攻击比较敏感
没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击计录。
攻击一个单纯的包过滤式的防火墙对黑客来说比较容易。
包过滤防火墙
代理服务器防火墙
代理服务器防火墙的工作原理：
代理服务器运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。
当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。
代理服务器防火墙的优点：
可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；
可用于实施较强的数据流监控、过滤、记录和报告等。
代理服务器防火墙的缺点：
使访问速度变慢，因为它不允许用户直接访问网络；（所有内部网络的主机均需通过代理服务器主机才能获得Internet上的资源，因此会造成使用上的不便，而且代理服务器很有可能会成为系统的“瓶颈”）。
代理服务器防火墙
状态监视器防火墙
状态监视器防火墙的工作原理：
采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的隔离层实施检测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。
状态监视器防火墙的优点：
安全特性较好
检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充；它会检测RPC和UDP之类的端口信息，而包过滤和代理网关都不支持此类端口；防范攻击较坚固。
状态监视器防火墙的缺点：
配置非常复杂、会降低网络的速度。
非军事化区（Demilitarized Zone,缩写为DMZ）
防火墙可以保证内部网络的客户端，访问外部网络的服务器，但外部网络的客户端被禁止访问内部网络的服务器。
为了解决这个问题，可以通过防火墙设立一个非安全系统与安全系统之间的缓冲区。
这个缓冲区位于内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如web服务器等等，这就是非军事化区。
防火墙的优点
保护脆弱的服务。通过定义一个中心“扼制点”及过滤不安全的网络服务，防火墙可防止非法用户进入内部网络，减少内网中主机的风险 。
控制对系统的访问。可提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机，允许内部员工使用某些资源而不能使用其他资源等。
集中的安全管理。对内网实行集中的安全管理。通过制定安全策略，其安全防护措施可运行于整个内网系统中而无须在每个主机中分别设立。同时还可将内网中需改动的程序都存于防火墙中而不是分散到每个主机中，便于集中保护。
增强保密性。可阻止攻击者获取攻击网络系统的有用信息。
有效地记录Internet 上的活动。因为所有进出信息都必须通过防火墙，所以非常便于收集关于系统和网络使用和误用的信息。
防火墙的不足之处
不能防范来自内部的攻击。对内部用户偷窃数据，破坏硬件和软件等行为无能为力。
不能防范不通过它的连接。对有意绕过它进/出内网的用户或数据无法阻止，从而给系统带来威胁，如用户可以将数据复制到磁盘中带出内网。
不能防范未知的威胁。能较好地防备已知的威胁，但不能自动防御所有新的威胁。
不能完全防范病毒的破坏。
为了提高安全性，限制和关闭了一些有用但存在安全缺陷的网络服务，给用户带来了使用的不便 。
防火墙的设置及使用
防火墙有很多种产品，按产品的形态和实现方法，可分为硬件防火墙和软件防火墙。不管是硬件防火墙还是软件防火墙，都能起到保护作用并筛选出网络上的攻击者。
硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的，而软件防火墙是通过纯软件的方式实现隔离内外部网络的目的。
硬件防火墙对比软件防火墙的优热可以概括为：
1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量，单位是bps，从几十M到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。
2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将是主机的杀手，将拖跨主机。
3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持，而软件防火墙的用户能得到这种机会的相对较少，而且厂家也不会在软件防火墙上下太大的功夫和研发经费。
防火墙的设置及使用
硬件防火墙应用于有一定规模的网络，一般用于对安全要求较高的网络中。
家庭或小型私人网络一般不需要安装硬件防火墙。
原因：硬件防火墙需要有一定专业能力的人员进行调试和设置。
硬件防火墙成本偏高。
软件防火墙运行于计算机上，它需要计算机操作系统的支持，一般来说安装了防火墙的计算机就是整个网络的网关，俗称“个人防火墙”。
选择一个合适的个人防火墙是构建个人安全用网环境的关键。
软件防火墙目前有很多成熟的产品：
例如瑞星个人防火墙、诺顿网络防火墙等
Windows7.0版本以上自带的防火境已经成为系统中不可或缺的一部分。
无论安装哪种第三方防火墙。都不应该关闭Windows操作系统自带的防火墙。
杀毒软件、安全卫士、防火墙
类型 举例 主要功能 区别 结论
杀毒软件 金山毒霸 查杀病毒和防御病毒入侵 杀毒软件主要用来查杀和预防计算机病毒。 防火墙软件主要用来预防黑客攻击。 安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检、保护隐私等多种功能。 虽然大家更喜欢使用安全卫士，但是它只能称为安全辅助软件，是不能代替杀毒软件和软件防火墙的，在不影响计算机正常运行的前提下，可以将三者共同安装和使用。
安全卫士 360安全卫士 对恶意的软件或程序进行监控和清理；清除系统垃圾；配置各种安全选项 软件防火墙 瑞星个人防火墙 通过纯软件的方式实现隔离内外部网络的目的，如拦截一些网上的端口攻击或者其他攻击 防火墙的原理
防火墙的作用
防火墙的类型
防火墙的设置及使用
学生总结