[精选]第4章网络安全-3防火墙.pptx

《[精选]第4章网络安全-3防火墙.pptx》由会员分享，可在线阅读，更多相关《[精选]第4章网络安全-3防火墙.pptx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2023/4/181防火墙防火墙主要知识点：主要知识点：-防火墙概述防火墙概述 -防火墙技术防火墙技术 -防火墙的体系结构防火墙的体系结构 2023/4/182防火墙概述防火墙概述为什么需要防火墙为什么需要防火墙 对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，即对网络进行访问控制。防火墙在网络安全中的位置2023/4/183VPN VPN 虚拟专用网虚拟专用网防火墙防火墙内容检测内容检测防病毒防病毒入侵探测入侵探测谁需要防火墙谁需要防火墙2023/4/184任何使用互联网的企事业单位都需要防火墙任何使用互联网的企事业单位都需要防火墙2023/4/185防火墙的来源防火墙的来源 “防火

2、墙一词源自于早期建筑。在古代，构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将巩固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙FireWall。如今在计算机网络中，沿用了古代这个名字来表示实现类似的网络安全功能。防火墙的基本概念防火墙的基本概念 2023/4/186 所谓“防火墙，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。防火墙示意图防火墙示意图 防火墙的实现层次2023/4/1882023/4/189防

3、火墙的两条基本规则防火墙的两条基本规则 一切未被允许的就是禁止的。一切未被允许的就是禁止的。基于该规则，防火墙应封锁所有信息流，然后对希望提供的效劳逐项开放，即只允许符合开放规则的信息进出。这种方法非常实用，可以造成一种十分安全的环境，因为所能使用的效劳范围受到了严格的限制，只有特定的被选中的效劳才被允许使用。这就使得用户使用的方便性受到了影响。一切未被禁止的就是允许的。一切未被禁止的就是允许的。基于该规则，防火墙逐项屏蔽被禁止的效劳，而转发所有其它信息流。这种方法可以提供一种更为灵活的应用环境，可为用户提供更多的效劳。但却很难提供可靠的安全防护，特别是当网络效劳日益增多或受保护的网络范围增大

4、时。2023/4/1810典型的防火墙具有的基本特性典型的防火墙具有的基本特性 内内部部网网络络和和外外部部网网络络之之间间的的所所有有网网络络数据流都必须经过防火墙。数据流都必须经过防火墙。只只有有符符合合安安全全策策略略的的数数据据流流才才能能通通过过防火墙。防火墙。防防火火墙墙自自身身应应具具有有非非常常强强的的抗抗攻攻击击免免疫力。疫力。2023/4/1811防火墙的功能及局限性防火墙的功能及局限性 防火墙的功能防火墙的功能2023/4/1812防火墙的局限性防火墙的局限性防火墙不能防范不经由防火墙的攻击和威胁 不能防御已经授权的访问，以及存在于网络内部系统间的攻击，不能防御合法用户恶

5、意的攻击以及社交攻击等非预期的威胁 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 不能修复脆弱的管理措施和存在问题的安全策略 WEB效劳器效劳器或或SQL效劳器效劳器FW2023/4/1813防火墙的分类防火墙的分类 根据物理特性分类根据物理特性分类 软件防火墙软件防火墙硬件防火墙硬件防火墙 从结构上分类从结构上分类 单一主机防火墙单一主机防火墙路由集成式防火墙路由集成式防火墙分布式防火墙分布式防火墙2023/4/1814按工作位置分类按工作位置分类 边界防火墙边界防火墙个人防火墙个人防火墙混合防火墙混合防火墙按防火墙性能分类按防火墙性能分类 百兆级防火墙百兆级防火

6、墙千兆级防火墙千兆级防火墙 从实现技术上分类从实现技术上分类 数据包过滤技术数据包过滤技术代理效劳代理效劳 防火墙技术的开展过程152023/4/1816防火墙技术防火墙技术 数据包过滤技术数据包过滤技术静态包过滤动态包过滤 代理效劳代理效劳应用级网关电路级网关状态检测技术状态检测技术2023/4/1817数据包过滤数据包过滤 Internet包过滤路由器工作站服务器内部网络工作站工作站2023/4/1818应用级网关代理效劳器应用级网关代理效劳器 应用级网关代理效劳器应用级网关代理效劳器 应用级网关提供两个网络间传输的高水平的控制，即能进行特定效劳内容的监控和提供基于网络安全策略的过滤。服务

7、器代理客户代理客户代理服务器代理应用级网关服务器客户机客户机服务器安全网络不安全网络2023/4/1819例：例：FTPFTP代理效劳器代理效劳器 FTP代理FTP客户FTP服务器FTP代理规则安全数据库TCP/UDPIP/ICMPInterfacesIP过滤规则端口2021不安全网络安全网络2023/4/1820电路级网关电路级网关 电电路路级级网网关关是是一一个个通通用用代代理理效效劳劳器器，工工作作在在TCP/IPTCP/IP协协议议的的TCPTCP层层，仅仅仅仅提提供供TCPTCP连连接接的的转转发发而而不不提提供供任任何何其其它它的的报报文文处处理理和和过滤。过滤。客户服务器TCP层

8、IP层Interfaces不安全网络安全网络状态检测技术状态检测防火墙不仅像包过滤防火墙考查数据包的IP地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心局部建立数据包的连接状态表，将在内外网间传输的数据包以会话角度进行监测，利用状态表跟踪每一个会话状态，记录有用的信息以帮助识别不同的会话。例如，对内部主机到外部主机的连接请求，防火墙会加以标注，允许从外部响应此请求的数据包以及随后两台主机间传输数据包通过，直到此连接中断为止，而对由外部发起的企图连接内部主机的数据包则全部丢弃，因此状态检测防火墙提供了完整的对传输层的控制能力。以TCP协议为例，状态检测机制关注的主

9、要问题不再仅是SYN和ACK标志位，或者是来源端口和目标端口，还包括了序号、窗口大小等其它TCP协议信息。2023/4/1821状态检测原理2023/4/18222023/4/1823防火墙的体系结构防火墙的体系结构 双宿主机防火墙结构双宿主机防火墙结构屏蔽主机防火墙结构屏蔽主机防火墙结构屏蔽子网防火墙结构屏蔽子网防火墙结构2023/4/1824双宿主机防火墙双宿主机防火墙 Internet堡垒主机工作站服务器内部网络工作站工作站2023/4/1825屏蔽主机防火墙屏蔽主机防火墙 Internet路由器堡垒主机工作站服务器内部网络工作站工作站2023/4/1826屏蔽子网防火墙屏蔽子网防火墙

10、Internet内部网络防火墙外部路由器堡垒主机内部路由器FTP服务器WWW服务器Telnet服务器防火墙产品2023/4/18272023/4/1828典型防火墙产品介绍13 Office Connect Firewall 新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。Office Connect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝效劳攻击，它还可以限制局域网用户对Internet的不恰当使用。2023/4/18292Cisco PIX防火墙 1实时嵌入式操作系统。2保护方案基于自适应安全算法ASA，可以确保最高的安全性。3用于验证和授权的“直通代理技术。4最多支持250 000个同时连接。5 URL过滤。6HP Open View集成。7通过电子邮件和寻呼机提供报警和告警通知。8通过专用链路加密卡提供VPN支持。9符合委托技术评估方案TTAP，经过了 安全事务处NSA的认证，同时通过中国 部安全检测中心的认证PIX520除外。2023/4/1830WINDOWS防火墙配置实验开启开启windows windows 防火墙防火墙 2023/4/18312023/4/1832进行入站规则设置进行入站规则设置2023/4/1833应用程序进行例外添加应用程序进行例外添加