防火墙基础理论知识.pptVIP

* * * * 陕西龙朔通信技术有限公司 客户为中心、技术为基础、创新为动力 */29 */29 Version 1.0 */29 个人信息 公司名称：陕西龙朔通信技术有限公司 姓名：张宇 职务：技术支持工程师 联系电话Version 1.0 防火墙基础理论知识  */29 交流目标 防火墙概述 防火墙的分类 防火墙区域概念 防火墙最新技术及发展 */29 交流重点 防火墙区域概念 */29 防火墙概述 防火墙的定义 所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。 */29 防火墙基本特性 1．进出内部网的数据流都必须通过防火墙。 2．只有符合安全策略的数据流才能通过防火墙。 3．防火墙自身应该能够防止渗透。 */29 为什么使用防火墙 人们要提的第一个问题可能是为什么要使用防火墙？把每个单独的系统配置好能经受住攻击不就行了吗？对此问题最简单的回答是：防火墙只在已授权和未授权通信之间作出决断。 如果周围没有防火墙，安全就完全仰仗主机自身了。而整个系统的安全将由系统中安全性最差的主机所决定。网络越大，把网络内所有主机维护至同样高的安全水平就越复杂。若一时粗心，就会因简单的配置错误或未能修补所有漏洞导致入侵的发生。 */29 防火墙安全防范的三个方面 企业的系统和数据有以下三个方面受到防火墙保护： 机密性的风险 包括未经授权就访问敏感数据或数据的过早泄露。 数据完整性的风险 包括未经授权就对数据进行修改，例如财务信息、产品特性或某网站上商品的价格。 可用性的风险 系统可用性保证系统可以适时地为用户服务。 */29 防火墙的功能 防火墙的主要功能，一般来说主要有以下几个方面： 隔离不同的网络，防止内部信息的泄露 强化网络安全策略 创建一个阻塞点 包过滤 有效地监控、审计和记录内、外部网络上的活动 流量控制和统计分析、流量计费 NAT（网络地址转换） VPN（虚拟专用网） URL级信息过滤 杀毒技术 其他特殊功能 */29 防火墙技术分类 1．包过滤（Packet filtering）技术 2．应用代理网关技术 3．状态检测技术　　 4．复合型防火墙技术 */29 包过滤（Packet filtering）技术 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息，如下图7-2所示。现在的路由器、Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。 由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙具有根本的缺陷： ① 不能防范黑客攻击。 ② 不支持应用层协议。 ③ 不能处理新的安全威胁。 */29 应用代理网关技术 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求，如图7-3所示。 优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。 缺点也非常突出，主要有：　　 （1）难于配置。 （2）处理速度非常慢。 */29 状态检测技术 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力，如图7-4所示。 */29 复合型防火墙技术 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架 构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。 */29 四类防火墙技术的对比 包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。 应用代理网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网