第9章-防火墙应用技术ppt课件.ppt
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《第9章-防火墙应用技术ppt课件.ppt》由会员分享,可在线阅读,更多相关《第9章-防火墙应用技术ppt课件.ppt(50页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用第第第第9 9 9 9章章章章 防火墙应用技术防火墙应用技术防火墙应用技术防火墙应用技术上海教育高地建设项目上海教育高地建设项目上海教育高地建设项目上海教育高地建设项目高等院校规划教材高等院校规划教材高等院校规划教材高等院校规划教材(第(第2 2版)版)上海市精品课程上海市精品课程上海市精品课程上海市精品课程 网络安全技术网络安全技术网络安全技术网络安全技术经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的
2、价款或接受服务的费用目目 录录 9.2 9.2 防火墙的类型防火墙的类型2 9.3 9.3 防火墙的主要应用防火墙的主要应用 3 9.4 9.4 防火墙安全应用实验防火墙安全应用实验4经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用目目 录录教学目标教学目标掌握防火墙的概念掌握防火墙的概念掌握防火墙的功能掌握防火墙的功能了解防火墙的不同分类了解防火墙的不同分类掌握掌握SYN Flood攻击的方式及用防火墙阻止攻击的方式及用防火墙阻止其攻击的方法其攻击的方法掌握防火墙安全应用实验掌握防火墙安全应用实验重点重点重点重
3、点重点重点重点重点经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.1.1 9.1.1 防火墙的概念和功能防火墙的概念和功能 防防火火墙墙(firewall)(firewall)是一一种种位位于于两两个个(或或多多个个)网网络络之之间间,通通过过执执行行访访问问控控制制策策略略来来保保护护网网络络安安全全的的设设备备。它它隔离了了内内部部、外外部部网网络络,是是内内、外外部部网网络络通通信信的的唯一途途径径,能能够够根根据据制制定定的的访访问问规规则则对对流流经经它它的的信信息息进进行行监监控控和和审审查查,从
4、从而而保保护护内内部部网网络络不不受受外外界界的的非非法法访访问问和和攻攻击击。网网络络防防火火墙的结构如图墙的结构如图9-19-1所示。所示。9.1 防火墙概述防火墙概述 某某中型企业购买了适合网络特点的防火中型企业购买了适合网络特点的防火墙墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。施的信息部。案例案例9-19-1经营者提供商品或者服务有欺
5、诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用图图9-1 网络防火墙的部署结构网络防火墙的部署结构9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用2.防火墙的主要功能防火墙的主要功能 实际上,实际上,防火墙其实是一个分离器、限制器或分析器,防火墙其实是一个分离器、限制器或分析器,它能够有效监控内部网络和外部网络之间的所有活动,它能够有效监控内部网络和外部网络之间的所有活动,主主要功能要功能如下:如下:l(1 1)建立一个集中的监
6、视点。)建立一个集中的监视点。l(2)隔绝内、外网络,保护内部网络。隔绝内、外网络,保护内部网络。l(3)强化网络安全策略。强化网络安全策略。l(4)有效记录和审计内、外网络之间的活动。有效记录和审计内、外网络之间的活动。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.1.2 防火墙的特性防火墙的特性(1)安全、成熟、国际领先的特性。)安全、成熟、国际领先的特性。(2)具有专有的硬件平台和操作系统平台。)具有专有的硬件平台和操作系统平台。(3)采用高性能的全状态检测()采用高性能的
7、全状态检测(Stateful Inspection)技术。)技术。(4)具有优异的管理功能,提供优异的)具有优异的管理功能,提供优异的GUI管理界面。管理界面。(5)支持多种用户认证类型和多种认证机制。)支持多种用户认证类型和多种认证机制。(6)需要支持用户分组,并支持分组认证和授权。)需要支持用户分组,并支持分组认证和授权。(7)支持内容过滤。)支持内容过滤。(8)支持动态和静态地址翻译)支持动态和静态地址翻译(NAT)。(9)支持高可用性,单台防火墙的故障不能影响系统的正常)支持高可用性,单台防火墙的故障不能影响系统的正常运行。运行。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈
8、行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.1.2 防火墙的特性防火墙的特性(10)支持本地管理和远程管理。)支持本地管理和远程管理。(11)支持日志管理和对日志的统计分析。)支持日志管理和对日志的统计分析。(12)实时告警功能,在不影响性能的情况下,支持较大数)实时告警功能,在不影响性能的情况下,支持较大数量的连接数。量的连接数。(13)在保持足够的性能指标的前提下,能够提供尽量丰富)在保持足够的性能指标的前提下,能够提供尽量丰富的功能。的功能。(14)可以划分很多不同安全级别的区域,相同安全级别可)可以划分很多不同安全级别的区域
9、,相同安全级别可控制是否相互通讯。控制是否相互通讯。(15)支持在线升级。)支持在线升级。(16)支持虚拟防火墙及对虚拟防火墙的资源限制等功能。)支持虚拟防火墙及对虚拟防火墙的资源限制等功能。(17)防火墙能够与入侵检测系统互动。)防火墙能够与入侵检测系统互动。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.1.3 防火墙的主要缺陷防火墙的主要缺陷(1)不能防范)不能防范不经由防火墙不经由防火墙的攻击。的攻击。(2)防火墙是一种)防火墙是一种被动被动安全策略执行设备,即对安全策略执
10、行设备,即对于新的未知攻击或者策略配置有误,防火墙就无能于新的未知攻击或者策略配置有误,防火墙就无能为力了。为力了。(3)防火墙不能防止)防火墙不能防止利用标准网络协议中的缺陷利用标准网络协议中的缺陷进行的攻击。一旦防火墙允许某些标准网络协议,进行的攻击。一旦防火墙允许某些标准网络协议,就不能防止利用协议缺陷的攻击。就不能防止利用协议缺陷的攻击。(4)防火墙不能防止)防火墙不能防止利用服务器系统漏洞利用服务器系统漏洞进行的进行的攻击。攻击。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费
11、用9.1.3 防火墙的主要缺点防火墙的主要缺点(5)防火墙不能防止)防火墙不能防止数据驱动式的攻击数据驱动式的攻击。(6)防火墙无法保证)防火墙无法保证准许服务的安全性准许服务的安全性。(7)防火墙不能防止)防火墙不能防止本身的安全漏洞威胁本身的安全漏洞威胁。(8)防火墙不能防止)防火墙不能防止感染了病毒的软件或文件的感染了病毒的软件或文件的传输传输。此外,防火墙在性能上不具备实时监控入侵的此外,防火墙在性能上不具备实时监控入侵的能力,其功能与速度成能力,其功能与速度成反比反比。防火墙的功能越多,。防火墙的功能越多,对对CPU和内存的消耗越大,速度越慢。管理上,人和内存的消耗越大,速度越慢。管
12、理上,人为因素对防火墙安全的影响也很大。因此,仅仅依为因素对防火墙安全的影响也很大。因此,仅仅依靠现有的防火墙技术,是远远不够的。靠现有的防火墙技术,是远远不够的。9.1 防火墙概述防火墙概述经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.2.1 以防火墙的软硬件形式分类以防火墙的软硬件形式分类 从防火墙的软硬件形式来分:从防火墙的软硬件形式来分:1软件防火墙软件防火墙 软件防火墙运行于特定的计算机上,需要客户预先安装软件防火墙运行于特定的计算机上,需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机
13、就是整个好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称网络的网关。俗称“个人防火墙个人防火墙”。2硬件防火墙硬件防火墙 这里说的硬件防火墙是指这里说的硬件防火墙是指“所谓的硬件防火墙所谓的硬件防火墙”。之所。之所以加上以加上“所谓所谓”二字是针对芯片级防火墙说的。它们最大的二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。差别在于是否基于专用的硬件平台。3芯片级防火墙芯片级防火墙 芯片级防火墙基于专门的硬件平台,没有操作系统。专芯片级防火墙基于专门的硬件平台,没有操作系统。专有的有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理芯片促使它们比其他
14、种类的防火墙速度更快,处理能力更强,性能更高。能力更强,性能更高。9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.2.2 以防火墙的技术分类以防火墙的技术分类 按照防火墙的技术分类,分为按照防火墙的技术分类,分为包过滤型包过滤型和和应用代理型应用代理型 1包过滤包过滤(Packet filtering)型型 包过滤型防火墙工作在包过滤型防火墙工作在OSI网络参考模型的网络层和传网络参考模型的网络层和传输层,根据数据包头源地址,目的地址、端口号和协议类输层,根据数据包头源地址,目
15、的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢才被转发到相应的目的地,其余数据包则被从数据流中丢弃。其网络结构如图弃。其网络结构如图9-2所示。所示。图图9-2 包过滤防火墙的网络结构包过滤防火墙的网络结构9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用 在整个防火墙技术的发展过程中,包过滤技术出现了两种在整个防火墙技术的发展过程中,包过滤技术出现了两种不同
16、版本,称为不同版本,称为“第一代静态包过滤第一代静态包过滤”和和“第二代动态包过滤第二代动态包过滤”。(1)第一代静态包过滤类型防火墙)第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的,它是根据定义好这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括息中包括IP源地址、源地址、IP目标地址、传输协议目标地址、传输协议(TCP、UDP、ICMP等等等等)、TCP
17、/UDP目标端口、目标端口、ICMP消息类型等。其数据消息类型等。其数据通路如图通路如图9-3所示。所示。图图9-3 第一代静态包过滤防火墙的数据通路第一代静态包过滤防火墙的数据通路9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用(2)第二代动态包过滤类型防火墙)第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法,避免了静这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监态包过滤所具有的问题。这种技术后来发展成为包状态
18、监测测(Stateful Inspection)技术。采用这种技术的防火墙对通技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目,具体的数据通路如图地在过滤规则中增加或更新条目,具体的数据通路如图9-4所示。所示。图图9-4 第二代包过滤防火墙的数据通路第二代包过滤防火墙的数据通路9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用2应用代理应用代理(Application Pr
19、oxy)型型 应用代理型防火墙是工作在应用代理型防火墙是工作在OSI的最高层,即应用层。的最高层,即应用层。其特点是完全其特点是完全“阻隔阻隔”了网络通信流,通过对每种应用服了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图作用。其典型网络结构如图9-5所示所示。图图9-5 应用代理型防火墙的网络结构应用代理型防火墙的网络结构9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用 在代
20、理型防火墙技术发展中,经历了两个不同的版本。在代理型防火墙技术发展中,经历了两个不同的版本。(1)第一代应用网关)第一代应用网关(Application Gateway)型防火墙型防火墙 这类防火墙是通过一种代理这类防火墙是通过一种代理(Proxy)技术参与到一个技术参与到一个TCP连接的全过程。如图连接的全过程。如图9-6所示,从内部发出的数据包经所示,从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒
21、体公认为是最安全的防火墙。它火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。的核心技术就是代理服务器技术。图图9-6 第一代应用网关型防火墙数据通路第一代应用网关型防火墙数据通路9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用(2)第二代自适应代理)第二代自适应代理(Adaptive proxy)型防火墙型防火墙 它是近几年才得到广泛应用的一种新防火墙类型。它可它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙
22、的高速度以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高性能提高10倍以上。此类防火墙的数据通路如图倍以上。此类防火墙的数据通路如图9-7所示。所示。组成这种类型防火墙的基本要素有两个:自适应代理服务组成这种类型防火墙的基本要素有两个:自适应代理服务器器(Adaptive Proxy Server)与动态包过滤器与动态包过滤器(Dynamic Packet filter)。图图9-7 第二代自适应代理型防火墙数据通路第二代自适应代理型防火墙数据通路9.2 防火墙的类型防火墙的类型经营者
23、提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用*9.2.3 以防火墙体系结构分类以防火墙体系结构分类 主要有:主要有:单一主机防火墙单一主机防火墙、路由器集成式防火墙路由器集成式防火墙和和分布分布式防火墙式防火墙三种。三种。(1)单一主机防火墙是最为传统的防火墙,独立于其它网)单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于络设备,它位于网络边界网络边界。(2)路由器集成式防火墙是将防火墙功能集成在中、高档)路由器集成式防火墙是将防火墙功能集成在中、高档路由器中,大大降低了网络设备购买成本。路由器中,大大
24、降低了网络设备购买成本。(3)分布式防火墙不是只是位于网络边界,而是渗透于网)分布式防火墙不是只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。络的每一台主机,对整个内部网络的主机实施保护。9.2 防火墙的类型防火墙的类型经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用9.2.4 防火墙在性能等级上的分类防火墙在性能等级上的分类 如果按防火墙的性能来分可以分为如果按防火墙的性能来分可以分为百兆级防火墙百兆级防火墙和和千千兆级防火墙兆级防火墙两类。两类。因为防火墙通常位于网络边界,所以不可
25、能只是十兆级因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽的。这主要是指防火的通道带宽(Bandwidth),或者说是吞,或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。能的影响也就越小。讨论思考:讨论思考:讨论思考:讨论思考:(1 1 1 1)软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么?)软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么?)软件防火墙、硬件防火墙和芯片防火墙的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 应用技术 ppt 课件
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内