网络安全+第4讲+防火墙.ppt
《网络安全+第4讲+防火墙.ppt》由会员分享,可在线阅读,更多相关《网络安全+第4讲+防火墙.ppt(64页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第4讲 防火墙一、防火墙基本知识1、防火墙的提出2、防火墙示意图3、防火墙是什么4、防火墙概念5、防火墙实现层次6、防火墙功能7、争议及不足企业上网企业上网 面面 临临 的的 安安 全全 问问 题之一题之一:内部网与互联网的有效隔离内部网与互联网的有效隔离解答解答:防火墙防火墙网络间的访问网络间的访问 -需隔离需隔离 FIREWALL1、防火墙的提出2、防火墙示意图Internet1.企业内联网企业内联网2.部门子网部门子网3.分公司网络分公司网络3 3、防火墙是什么(、防火墙是什么(1 1)在一个受保护的企业内部网络与互联网间,用来强制执强制执行企业安全策略行企业安全策略的一个或一组系统.防
2、火墙主要用于保护内部安全网络免受防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。外部网不安全网络的侵害。典型情况:安全网络为企业内部网络,典型情况:安全网络为企业内部网络,不安全网络为因特网。不安全网络为因特网。但防火墙不只用于因特网,也可用于但防火墙不只用于因特网,也可用于IntranetIntranet各部门网络之间(内部防火墙)各部门网络之间(内部防火墙)。例:财务部与市场部之间。例:财务部与市场部之间。3 3、防火墙是什么(、防火墙是什么(2 2)4、防火墙概念(1)最初含义:当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。Ric
3、h Kosinski(Internet Security公司总裁):防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,控制进/出两个方向的通信。William CheswickWilliam Cheswick和和Steve Steve BeilovinBeilovin(19941994):):防火墙是放置在两个网防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列络之间的一组组件,这组组件共同具有下列性质:性质:1.只允许本地安全策略授权的通信信息通只允许本地安全策略授权的通信信息通过过2.双向通信信息必须通过防火
4、墙双向通信信息必须通过防火墙3.防火墙本身不会影响信息的流通防火墙本身不会影响信息的流通4、防火墙概念(2)4、防火墙概念(3)简单的说,网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。5、防火墙实现层次6、防火墙功能(1)基本功能模块应用程序代理应用程序代理包过滤包过滤&状态检测状态检测用户认证用户认证NATNATVPNVPN日志日志IDSIDS与报警与报警内容过滤内容过滤防火墙的功能过滤进出网络的
5、数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警6、防火墙功能(2)7、争议及不足使用不便,认为防火墙给人虚假的安全感使用不便,认为防火墙给人虚假的安全感对用户不完全透明,可能带来传输延迟、瓶颈及单点对用户不完全透明,可能带来传输延迟、瓶颈及单点失效失效不能替代墙内的安全措施不能替代墙内的安全措施n不能防范恶意的知情者不能防范恶意的知情者 n不能防范不通过它的连接不能防范不通过它的连接 n不能防范全新的威胁不能防范全新的威胁 n不能有效地防范数据驱动式的攻击不能有效地防范数据驱动式的攻击n当使用端当使用端-端加密时,其作用会受到很大的限制端加密时,其
6、作用会受到很大的限制防火墙的姿态拒绝没有特别允许的任何事情允许没有特别拒绝的任何事情机构的安全策略防火墙不是独立的,是机构总体安全策略的一部分。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析的基础上。成本因素。二、防火墙种类1、防火墙的种类2、包过滤防火墙3、NAT模式4、代理服务器5、全状态检查1、防火墙的种类防火墙的存在形式:软件、硬件。根据防范方式和侧重点的不同可分为四类:n包过滤n应用层代理n电路层代理n状态检测2、包过滤防火墙(1)2、包过滤防火墙(2)包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该
7、数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。包过滤防火墙使得防火墙能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的TCP/UDP端口号上。例如,Telnet服务器在TCP的23号端口上监听远地连接,而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接,防火墙只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上,防火墙必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。2、包过滤防火墙(3)2、包过滤防火墙(4)数据
8、包过滤一般要检查网络层的IP头和传输层的头:nIP源地址nIP目标地址n协议类型(TCP包、UDP包和ICMP包)nTCP或UDP包的目的端口nTCP或UDP包的源端口nICMP消息类型nTCP包头的ACK位nTCP包的序列号、IP校验和等2、包过滤防火墙(5)UDP的动态数据包过滤 流入流出的UDP数据报的源地址、源端口号、目的地址、目的端口号要匹配优点:优点:速度快,性能高速度快,性能高 对用户透明对用户透明缺点:缺点:维护比较困难维护比较困难(需要对需要对TCP/IPTCP/IP了解)了解)安全性低安全性低 不提供有用的日志,或根本就不提供不提供有用的日志,或根本就不提供 不防范数据驱动
9、型攻击不防范数据驱动型攻击 不能根据状态信息进行控制不能根据状态信息进行控制 无法对网络上流动的信息提供全面的无法对网络上流动的信息提供全面的控制控制2、包过滤防火墙(6)优缺点互连的物理介质互连的物理介质应用层应用层表示层表示层会话层会话层传输层传输层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理物理层层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层3、NAT模式(1)NAT的类型静态NATNAT池PAT(端口NAT)3、NAT模式(2)3、NAT模式(3)4、代理服务代理服务分类:代理服务可分为应用级代理与电路
10、级代理:应用级代理针对每一个应用都有一个程序,它在应用协议中理解并解释命令。应用级代理的优点为它能解释应用协议从而获得更多的信息,缺点为只适用于单一协议。电路级代理是在客户和服务器之间不解释应用协议即建立回路。电路级代理的优点在于它能对各种不同的协议提供服务,缺点在于它对因代理而发生的情况几乎不加控制。4、应用级代理proxy(1)代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。不允许直接在外部网和内部网之间建立通信。将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现外部计算机的网络链路只能到达代理服务器,从而起到
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 防火墙
限制150内