防火墙技术交流.ppt

《防火墙技术交流.ppt》由会员分享，可在线阅读，更多相关《防火墙技术交流.ppt（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙技术交流防火墙技术交流2008年年7月月1UTStarcom Confidential防火墙技术交流防火墙技术交流安全的范围及措施防火墙的作用、特征及分类防火墙概念及相关术语防火墙工作模式及功能防火墙的局限性一个防火墙的应用实例2UTStarcom Confidential安全的范围及措施安全的范围及措施3UTStarcom Confidential范围范围规划安全措施规划安全措施已经采取的安全措施已经采取的安全措施存在的问题存在的问题可能造成的风险可能造成的风险边界安全访问控制在服务器区、网络边界、外网出口、设置了硬件的防火墙产品根据访问范围划VLAN无法有效的对单个用户访问外网的权限

2、进行控制外网病毒感染终端造成对内网的影响操作不规范造成信息的泄漏网络入侵检测在外网出口和接入口部署了网络入侵检测设备接入安全接入采用MPLS VPN方式外网用户无法直接访问内部网络无法控制非法用户直接接入业务网外部人员直接通过内网实施攻击行为边界安全边界安全4UTStarcom Confidential范围范围规划安全措施规划安全措施已经采取的安全措施已经采取的安全措施存在的问题存在的问题可能造成的风险可能造成的风险主干网络安全核心网络冗余链路冗余通过单条线路访问外网可靠性不高，无法对流量进行控制链路或ISP出现问题会造成外网访问中断，门户网站无法访问流量控制通过划分VLAN控制网络流量老大楼

3、汇聚层设备无法转发三层数据包当核心交换机出现问题会造成VLAN之间无法进行访问存储与备份采用数据备份软件进行重要数据备份 存储与应用分离，初步建立可扩展的存储管理框架重要服务器冗余对部分重要服务（AD、DHCP）采用双机冗余的方式网络安全网络安全5UTStarcom Confidential三分技术三分技术 七分管理七分管理6UTStarcom Confidential防火墙技术交流防火墙技术交流安全的范围及措施防火墙的作用、特征及分类防火墙概念及相关术语防火墙工作模式及功能防火墙的局限性一个防火墙的应用实例7UTStarcom Confidential防火墙的作用防火墙的作用过滤进出网络的数

4、据包管理进出网络的访问行为封堵某些禁止的访问行为记录通过防火墙的信息内容和活动对网络攻击进行检测和告警8UTStarcom Confidential防火墙特征防火墙特征内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力9UTStarcom Confidential防火墙的分类防火墙的分类软件防火墙硬件防火墙芯片级防火墙10UTStarcom Confidential安全的范围及措施防火墙的作用、特征及分类防火墙概念及相关术语防火墙工作模式及功能防火墙的局限性一个防火墙的应用实例防火墙技术交流防火墙技术交流防火墙技术交

5、流防火墙技术交流11UTStarcom Confidential防火墙的概念防火墙的概念原义：原义：防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。定义：定义：指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。12UTStarcom Confidential防火墙相关术语防火墙相关术语并发连接数用户数吞吐量内网口（inside）外网口（outside）DMZ13UTStarcom Confidential防火墙相关术语防火墙相关术语并发连接数并发连接数 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理

6、的点对点连接的最大数目.是衡量防火墙性能的一个重要指标 吞吐量吞吐量 吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。吞吐量太小，就会成为网络瓶颈。百兆级 千兆级 防火墙的安全规则与吞吐量成反比防火墙的安全规则与吞吐量成反比用户数用户数 防火墙的用户数限制分为固定限制用户数和无用户数限制两种。用户数并发连接数14UTStarcom Confidential防火墙相关术语防火墙相关术语内网口（内网口（trusttrust）局域内部网也就是要保护的局域网接在防火墙的内网口，采取内网口允许访问外部，禁止外部网访问公司局域网，内网口又称之为安全区 外网口（外网口（untrustuntrus

7、t）外部网（公用网）接在外网口，外网口又称之为非安全区 DMZDMZ 对外服务的计算机放在DMZ口，即让内网用户访问也让外部用户访问的计算机放在DMZ口，DMZ口又称为中立区、停火区 15UTStarcom Confidential区域互连示意图区域互连示意图16UTStarcom Confidential防火墙技术交流防火墙技术交流安全的范围及措施防火墙的作用、特征及分类防火墙概念及相关术语防火墙工作模式及功能防火墙的局限性一个防火墙的应用实例17UTStarcom Confidential工作模式工作模式透明模式 路由模式NAT模式18UTStarcom Confidential透明模式透

8、明模式防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第2层)交换机或桥接器 19UTStarcom Confidential路由模式路由模式防火墙在不同区段间转发信息流时不执行NAT；即，当信息流穿过防火墙时，IP封包包头中的源地址和端口号保持不变。20UTStarcom ConfidentialNAT模式模式防火墙的作用与Layer 3(第3层)交换机(或路由器)相似，将绑定到外网区段的IP封包包头中的两个组件进行转换：其源IP地址和源端口号。21UTStarcom Confidenti

9、al常见功能常见功能路由 NAT报文过滤VPN22UTStarcom Confidential防火墙的路由功能防火墙的路由功能防火墙不能代替路由器 路由器是网络中的中继和交换设备 防火墙是一个信息安全的协议和软件防火墙不同的是硬件防火墙把一些安全的规则固化在芯片上23UTStarcom Confidential防火墙的防火墙的NAT功能功能静态NAT(Static NAT)动态地址NAT(Pooled NAT)网络地址端口转换NAPT（PortLevel NAT）24UTStarcom Confidential防火墙的包过滤功能防火墙的包过滤功能ACL使用包过滤技术，在防火墙上读取第三层及第四

10、层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的标准ACL 只针对源IP地址进行过滤扩展ACL 针对源和目的IP地址、端口号进行过滤25UTStarcom Confidential包过滤技术特点包过滤技术特点优点 工作在网络层和传输层 只对数据包的 IP 地址、TCP/UDP 协议和端口进行分析，处理速度快、易于配置缺点 一、是非法访问一旦突破防火墙，即可对主机上 的软件和配置漏洞进行攻击；二、是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒 26UTStarcom ConfidentialVPN27

11、UTStarcom Confidential安全的范围及措施防火墙的作用、特征及分类防火墙概念及相关术语防火墙工作模式及功能防火墙的局限性一个防火墙的应用实例防火墙技术防火墙技术28UTStarcom Confidential防火墙的局限性（一）防火墙的局限性（一）不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以窃取数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理，如管理制度和保密制度等不能防范不通过它的连

12、接 防火墙能够有效地防止通过它的传输信息，然而它却不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵29UTStarcom Confidential不能防备全部的威胁 防火墙是被动性的防御系统，用来防备已知的威胁，如果是一个很 好的防火墙设计方案，就可以防备新的威胁，但没有一扇防火墙能自动防御所有新的威胁。防火墙很难防范病毒 防火墙一般不能消除网络上的病毒、木马、广告插件等。防火墙的局限性（二）防火墙的局限性（二）30UTStarcom Confidential防火墙技术交流防火墙技术交流安全的范围及措施防火墙的作用、特征及分类防火墙概念及相关术语防火墙功能及作用防火墙的局限性一个防火墙的应用实例31UTStarcom Confidential一个硬件防火墙的应用一个硬件防火墙的应用32UTStarcom Confidential谢谢 谢！谢！33UTStarcom Confidential