《第九章防火墙技术PPT课件.ppt》由会员分享,可在线阅读,更多相关《第九章防火墙技术PPT课件.ppt(37页珍藏版)》请在三一办公上搜索。
1、第5章防火墙技术,防火墙技术,3.1防火墙技术概述3.2防火墙技术3.3防火墙设计实例,本章学习目标,(1)了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。(2)掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式;熟悉防火墙的常见体系结构。(3)熟悉防火墙的产品选购和设计策略。,返回本章首页,内容攻击的风险日趋增长,1980,1990,2000,网络分层,物理层,数据链路层,表示层,应用层,会话层,传输层,网络层,网络安全防护体系构架,网络安全评估,安全防护,网络安全服务,系统漏洞扫描,网络管理评估,病毒防护体系,网络监控,数据保密,网络访问控制,应急服务体系,安全
2、技术培训,数据恢复,5.1防火墙技术概述,防火墙的定义防火墙的发展简史设置防火墙的目的和功能,返回本章首页,防火墙的功能,1.访问控制 2.对网络存取和访问进行监控审计3.防止内部信息的外泄4.支持VPN功能 5.支持网络地址转换,对防火墙的两大需求,保障内部网安全 保证内部网同外部网的连通,3.1.1防火墙的定义,防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口。,防火墙的发展简史,第一代防火墙:采用了包过滤(Packet Filter)技术。第二代防火墙:应用层防火墙的初步结构。第三代
3、防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。第四代防火墙:1998年,NAI公司推出了一种自适应代理技术。,3.1.4防火墙的局限性,(1)防火墙防外不防内。(2)防火墙不能防范不通过它的连接。(3)很难为用户在防火墙内外提供一致的安全策略。(4)防火墙只实现了粗粒度的访问控制。(5)防火墙对病毒的访问控制有局限。,返回本节,3.2防火墙技术,3.2.1防火墙的技术分类3.2.2防火墙的主要技术及实现方式3.2.3防火墙的常见体系结构,返回本章首页,3.2.1防火墙的技术分类,1包过滤防火墙2应用网关(代理服务)3混合防火墙,1包过滤防火墙(Packet filtering)
4、,(1)数据包过滤技术的发展:静态包过滤、动态包过滤。(2)包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。,简单包过滤 防火墙的工作原理,包过滤 防火墙的工作流程,过滤规则-ACL,包过滤规则一般基于部分的或全部的包头信息:1IP协议类型 2IP源地址 3IP目标地址 4 TCP(UDP)源端口号 5 TCP(UDP)目标端口号 6 TCP ACK标识,指出这个包是否是联接中的第一个包,是否是对另一个包的响应。,优点:保护整个网络;对用户透明;可用路由器,不需要其他设备。缺点:1.包过滤的一个重要的局限是它不能分辨好的和坏的用
5、户,只能区分好的包和坏的包。2.包过滤规则难配置。3.新的协议的威胁。4.IP欺骗,包过滤防火墙的特点,应用,E0端口,默认安全策略,没有明确禁止的行为都是允许的 举例:华为的ACL 没有明确允许的行为都是禁止的举例:思科的ACL,代理防火墙(应用层网关型防火墙)代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。,2代理防火墙的原理 Proxy Server,代理防火墙的原理,代理防火墙的工作过程,代理技术的优点,1)代理易于配置。2)代理能生成各项记录。3)代
6、理能灵活、完全地控制进出流量、内容。4)代理能过滤数据内容。5)代理能为用户提供透明的加密机制。6)代理可以方便地与其他安全手段集成。,代理技术的缺点,1)代理速度较路由器慢。2)代理对用户不透明。3)对于每项服务代理可能要求不同的服务器。4)代理服务不能保证免受所有协议弱点的限制。5)代理防火墙提供应用保护的协议范围是有限的,动态包过滤 防火墙的工作原理,自适应代理防火墙,筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网,防火墙构造体系,概念,l 堡垒主机(Bastion host):堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也就是说如果没有堡
7、垒主机,网络之间将不能相互访问。可以配置成过滤型、代理型或混合型。l 双宿主主机(Dual-homed Host):有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网。DMZ(Demilitarized Zone,非军事区或者停火区):在内部网络和外部网络之间增加的一个子网。可以实现避免内外网用户的直接接触。,内部网络,外部网络,包过滤器,进行包过滤,筛选路由器,双宿主主机-Dual-Homed Host Firewall,被屏蔽主机(Screened Host Firewall),被屏蔽子网(Screened subnet Firewall),小型网络解决方案,典型的网络安全解决方案,双机热备,
