防火墙基础与分类ppt课件.pptx

《防火墙基础与分类ppt课件.pptx》由会员分享，可在线阅读，更多相关《防火墙基础与分类ppt课件.pptx（65页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物 2010 绿盟科技 防火墙基础绿盟科技2011年11月密级：内部限制分发 分类、原理我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1 防火墙的基本概念4 防火墙的典型部署3 防火墙的功能2 防火墙的分类5 下一代防火墙介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1 防火墙的基

2、本概念我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物l 防火墙设计的基本目标： 所有进出网络的数据流都必须经过防火墙； 只允许经过授权的数据流通过防火墙； 防火墙自身对入侵是免疫的。1 防火墙的基本概念l 防火墙对数据流的处理方式有三种：允许数据流通过；拒绝数据流通过；将这些数据流丢弃。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物 1，按用户终端，分为企业防火墙和个人防火墙 2，按照实现方式，分为硬件和软件防火墙；

3、 3，按照检测技术，分为包过滤、状态检测等； 4，固定防火墙和移动防火墙 5，按照部署，分为单机版和网络版； 6，产品多元化，服务器版，PC版，Mp4版， 手机版，电视版. 目前没有权威而明晰的类似辞典.防 火 墙 分 类针对硬件防火墙的检测方式的分类我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙的设备形态（一）1 防火墙的基本概念我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙的设备形态（二）1 防火墙的

4、基本概念我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1 防火墙的基本概念防火墙的设备形态（三）我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1 防火墙的基本概念4 防火墙的典型部署3 防火墙的功能2 防火墙的分类5 下一代防火墙介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙的发展历程将过滤功能从路由器中独立出来，并加

5、上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、用于网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用利用路由器本身对分组的解析，进行分组过滤过滤判断依据：地址、端口号、IP旗标及其他网络特

6、征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物 防火墙的基本分类我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙类型11.包过滤防火墙u 数据包过滤(Packet Filtering)技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表(Access Control List，ACL)u 包过滤防火墙分为静态包过滤、动态

7、包过滤防火墙u 包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP头部），通常只检查下列几项：IP源地址IP目标地址TCP或UDP的源端口号TCP或UDP的目的端口号协议类型ICMP消息类型TCP报头中的ACK位TCP的序列号、确认号IP校验和数据包过滤检查信息IP报头TCP报头我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1.包过滤防火墙我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1.包过滤防火墙优点u

8、逻辑简单u对网有较强的透明性u络性能的影响较小u开销较小，设备便宜缺点u无法对数据包的内容进行过滤审核 在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个请求是非法的还是合法的。u防止欺骗攻击很难，特别是容易受到IP欺骗攻击u所有可能用到的端口(尤其是1024的端口)都必需放开,增加了被攻击的可能性u在复杂的网络中很难管理u通常来说包过滤技术是防火墙技术中最低的。 我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙类型22.状态检测防火墙u 由

9、动态包过滤防火墙演变而来，工作在传输层，使用各种状态表（state tables）来追踪活跃的TCP会话，它能够根据连接状态信息动态地建立和维持一个连接状态表，并且这个把这个连接状态表用于后续报文的处理。u 状态检测技术一般的检查点有：检查数据包是否是一个已经建立并且正在使用的通信流的一部分。如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中为此次对话创建或者更新一个连接项防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。数据状态检测信息IP报头TCP报

10、头我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物状态检测防火墙我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物2.状态检测防火墙优点u更高的安全性u高效性u应用范围广缺点u不能对应用层数据进行控制u不能产生高层日志u配置复杂数据状态检测信息IP报头TCP报头我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙类型33.应用代理防火

11、墙u应用代理（Application Proxy）也称为应用层网关（Application Gateway）u工作在应用层，其核心是代理进程u每一种应用对应一个代理进程，实现监视和控制应用层通信流u自适应代理防火墙：在每个连接通信的开始仍然需要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理IP报头TCP报头数据应用代理检查信息代理应用进程应用服务器客户端发送请求转发请求请求响应转发响应我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.应用代理防火墙我吓了一跳，蝎

12、子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.应用代理防火墙优点u可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强u代理完全控制会话，可以提供很详细的日志和安全审计功能u可以隐藏内部网的IP地址，保护内部主机免受外部主机的进攻u可以集成认证机制缺点u最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件u分析困难，实现困难 每一种应用服务必须设计一个代理软件模块进行安全控制，并且应用升级时，一半代理服务程序也要升级u影响用户网络速度（命令解释）u不能防止SYN攻击我吓了一跳

13、，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙类型44.复合型防火墙u复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙u对整个报文进行访问控制和处理，具体检测内容由策略决定，如果策略是包过滤策略，则对TCP、IP报头进行检测，如果策略是应用代理策略，则对用户数据进行检测。IP报头TCP报头数据复合型防火墙检查信息我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物4.复合型防火墙我吓了一跳，蝎子是多么丑恶和恐怖的东西，

14、为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物4.复合型防火墙优点u 可以检查整个数据包的内容u 根据需要建立连接状态表u 网络层保护强u 应用层控制细缺点u 会话控制较弱我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙类型55.核检测防火墙u 对于简单包过滤防火墙、状态检测包过滤防火墙和应用代理防火墙，他们只是检查单个报文， 所以只检查其中的一个报文，但是他们都不能把这些报文组合起来，形成一个会话来进行处理。u 对于核检测防火墙，它可以将不同报文，在

15、防火墙内部，模拟成应用层客户端或服务器端，对整个报文进行重组，合成一个会话来进行理解，进行访问控制。u 可以提供更细的访问控制，同时能生产访问日志。可以看到，它的上下报文是相关的，它具备包过滤和应用代理防火墙的全部特点，还增加了对会话的保护能力。IP报头TCP报头数据核检测检查信息我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物5.核检测防火墙报文1报文2报文3重写会话我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物5.

16、核检测防火墙优点u网络层保护强u应用层保护强u会话层保护强u前后报文有联系，可以关联进行出来缺点：u不能防病毒传播u不能防止一些未知的入侵或攻击u我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙类型的对比 性能性能类型类型综合综合安全性安全性网络层网络层保护保护应用层应用层保护保护应用层应用层透明透明整体性能整体性能处理对象处理对象简单包过滤简单包过滤防火墙防火墙单个数据包单个数据包报头报头状态检测包状态检测包过滤防火墙过滤防火墙单个数据包单个数据包报头报头一次会话一次会话应用代理防应用代理防火墙火墙

17、单个数据包单个数据包数据数据复合型防火复合型防火墙墙单个数据包单个数据包全部数据全部数据核检测防火核检测防火墙墙一次完整会一次完整会话话应用数据应用数据我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物安全网关防火墙UTMA Episode我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物A Episode1、防火墙u 一种隔离技术，将内部网和外部网络分开的方法；u 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你

18、“同意”的人和数据进入网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络；u 传统防火墙应该具备状态检测、访问控制以及VPN等功能。2、UTM（Unified Threat Management）u 统一威胁管理，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台；u 将防病毒、入侵检测和防火墙的概念融入统一威胁管理的类别中；u UTM设备应该具备的基本功能包括防火墙、网络入侵检测/防御和防病毒功能。 3、安全网关u 设置在不同网络或安全域之间的一系列部件的组合的统称；u

19、通过监测、限制、更改跨越安全网关的数据流，尽可能地对外部屏蔽内部的信息、结构和运行状况，并通过检测阻断威胁，以及网络数据加密等手段来实现网络和信息的安全；u 安全网络可以分为：单一功能的网关（防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关、web防护防火墙），综合功能型网关（UTM）。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物回顾回顾：1、防火墙的概念 防火墙的概念？ 目标？ 形态？2、防火墙的分类 哪几类？ 工作层次？ 工作原理？3、防火墙、UTM、安全网关的区别 我吓了一跳

20、，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1 防火墙的基本概念4 防火墙的典型部署3 防火墙的功能2 防火墙的分类5 下一代防火墙介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物防火墙的功能我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物多协议支持我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感

21、到愉快，证实我的猜测没有错：表里边有一个活的生物基本访问控制技术Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v 基于用户v 基于服务v 基于文件v 基于网址v 基于MAC地址可以灵活的制定控制策略我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物第三方认证jonson12354876我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样

22、一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物NAT地址转换202.102.93.54Host A受保护网络Host C Host D 192.168.1.21192.168.1.25防火墙Eth2：192.168.1.23Eth0：101.211.23.1数据IP报头数据IP报头源地址：192.168.1.21目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.2vNAT包括SNAT、MAP、PATv 隐藏了内部网络的结构v 内部网络可以使用私有IP地址SIPSIP：SPortDIPDIP：

23、DPortProtoProto转换地址转换地址转换端口转换端口192.168.1.21:aaaa202.102.93.54:bbbbTCP101.211.23.1dddd建立Nat转换表我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物双链路功能我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物加密传输VPNl 按VPN业务类型划分： 1）Intranet VPN（内部公文流转） 2）Access VPN（远程拨号VPN）

24、3）Extranet VPN（各分支机构互联）l 按隧道协议层次划分：1）二层隧道协议：L2TP（ Layer 2 Tunneling Protocol ）、PPTP（ Point to Point Tunneling Protocol ） 2）三层隧道协议：GRE、Ipsec 3）介于二、三层间的隧道协议：MPLS（ Multi Protocol Label Switch ） 4）四层隧道协议： SSL2、VPN的分类1、VPN（Virtual Private Network）通过一公共网络( Internet) 建立的临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟-

25、不需要占用实际的线路，使用internet数据网络的线路专用-用户可以为自己制定一个最符合自己需求的网络我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物加密传输VPN l 远程接入VPN我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物加密传输VPN l LAN-LAN 通信我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物加密传输VPN

26、 l 可控的内联网接入企业LAN利用VPN技术实现对保密网络当中的特定子网实施可控制接入我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物高可用性(HA)概念：u 高可用性（High Availability），又称双机热备，提供了一种最小化网络中由于单点故障而带来的风险的方法。u 单点故障：对于部署防火墙的企业，从网络安全方面考虑，所有进出信息流都必须经过防火墙。这时防火墙就是一个单点故障。HA实现的功能：1、链路切换 当一台设备出现故障时，能够实现无缝切换，从而使用户网络不中断。 2、数据同步u 静态数据

27、 策略（FW、IPS、VPN）、路由u 动态数据 TCP会话.HA的模式：u 主备模式u 主主模式我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物高可用性(HA)InternetSG SG-A（主 ）InternetInternet子网：质量部网关指向FW-A子网1：质量部网关指向FW-A子网2：研发部网关指向FW-B主备模式主主模式SG-A（主 ）数据流数据流 子网1数据流子网2FW-A(主)FW-A(主)FW-B(从)FW-B(主)HA应用场景我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一

28、个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物IP MAC(用户)绑定InternetHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-50-04-BB-71-A6BIND 199.168.1.4 To 00-50-04-BB-71-BCIP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网跨路由器我吓了一跳，蝎子是多么丑

29、恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1 防火墙的基本概念4 防火墙的典型部署3 防火墙的功能2 防火墙的分类5 下一代防火墙介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物4.防火墙典型部署我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1.透明部署受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整Host A 1

30、99.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥，原网络结构没有改变我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物2.路由部署受保护网络InternetHost A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B19

31、9.168.1.3199.168.1.8Default Gateway=199.168.1.8防火墙相当于一个简单的路由器203.12.34.56203.12.34.57199.168.1.8我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3.双机热备Internet绿盟SG我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物4.多出口部署高校网络中心教育网电信网通教学区学生宿舍区我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什

32、么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物5.VPN专线部署绿盟SGInternet总部/城市VPN绿盟SG绿盟SG绿盟SG绿盟SG分支/区县VPN我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物6.综合部署我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物回顾回顾：1、防火墙的功能基本功能？扩展？2、防火墙的部署典型部署？我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它

33、放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1 防火墙的基本概念4 防火墙的典型部署3 防火墙的功能2 防火墙的分类5 下一代防火墙介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物 对于使用僵尸网络传播方式的威胁，第一代防火墙基本上是看不到的。 随着面向服务的架构和Web 2.0使用的增加，更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。 入侵防御系统的确是检查针对没有打补丁的操作系

34、统和软件的已知攻击方法，但不能有效地识别和阻止应用程序的滥用。下一代防火墙应运而生我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物下一代防火墙应运而生NGFW我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物Palo Alto NGFW特征SP3 架构Content-IDUser-IDApp-ID我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个

35、活的生物下一代防火墙的基本特性1支持联机“bump-in-the-wire”配置，不中断网络运行。2发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：u 标准的第一代防火墙能力：包过滤、NAT、状态性协议检测、VPN等等。u 集成的网络入侵检测：集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征，两者间的互动效果应当大于这两部分效果的总和。 u 应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。u 智能的防火墙：防火墙收集外来信息来建立阻止决定或者优化的阻止规则库。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为

36、什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物下一代防火墙的基本特性3支持新信息馈送和新技术集成的升级路径，以对未来的威胁4 . 虚拟化技术5 . IPV66 . 流量整型策略u灵活的优先级分配、硬件加速队列u对应用、用户、源、目的地、接口、VPN通道及其它内容执行基于策略的流量整形7 . 采用提供更高性能的架构8 . 云计算（云安全技术）我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物传统防火墙和下一代防火墙的对比传统防火墙 下一代防火墙过滤掉不安全服务和非

37、法用户 有认识应用和设置控制的“应用意识”控制对特殊站点访问，提供监视Internet安全和端点 具备网络地址转换、状态检查、VPN等标 准防火墙功能传统防火墙不能防范不经由防火墙的攻击采用深度包检测技术，将IPS“真正集成”在防火墙中传统防火墙不能防止感染病毒的软件或文件传输能够提供帮助决策的信息，具有值得信赖的分析传统防火墙不能防止数据驱动式攻击可探测到针对具体应用攻击，并提供细粒度安全策略我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物不同厂商对NGFW的看法我吓了一跳，蝎子是多么丑恶和恐怖的东西，为

38、什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物已推出NGFW的厂商Check point、PaloAlto、梭子鱼、SonicWAll、深信服（Singfor）我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物整体回顾回顾总结：1、防火墙的概念2、防火墙的分类与对比3、防火墙的功能4、防火墙的典型部署5、NGFW其他展望：1、防火墙软、硬件系统结构2、针对防火墙攻击3、防火墙的性能4、.我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物附录PaloAlto 如何定义 NGFW Gartner 如何定义 NGFWnss-labs NGFW TEST REPORTPaloAlto下一代防火墙解决方案介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物