防火墙技术.pptVIP

第6章 防火墙技术 6.1 防火墙概述 6.2 防火墙的体系结构 6.3 防火墙技术 6.4 分布式防火墙 6.5 防火墙安全策略 6.6 Win XP防火墙 6.7 防火墙的选购 6.8 个人防火墙程序设计介绍 6.1 防火墙概述 在内部网和Internet之间插入一个系统，即防火墙，用来防止各类黑客的破坏，阻断来自外部网络的威胁和入侵，扮演着防备潜在的恶意活动屏障。 6.1.1 防火墙的概念 防火墙是保障网络安全的一个系统或一组系统，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，即能根据网络安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。 防火墙至少提供两个基本的服务，即： 1．有选择的限制外部网用户对本地网的访问，保护本地网的特定资源。 2．有选择的限制本地网用户对外地网的访问。 安全、管理、速度是防火墙的三大要素。 它可以嵌入到某种硬件产品中，以硬件设备形式出现，即硬件防火墙。它也可以是一种软件产品，即软件防火墙。 6.1.2 防火墙主要功能 防火墙主要功能有： 1．防止易受攻击的服务。 2．控制访问网点。 3．集中安全性管理。 4．对网络存取和访问进 行监控审计。 防火墙的主要缺陷有： 1. 不能防范内部攻击。 2. 不能防范不通过防火墙的连接入侵。 3. 不能自动防御所有新的威胁。 4. 防火墙不能防止感染了病毒的软件或文件的传输 5. 防火墙不能防止数据驱动型攻击 6. 防火墙难于管理和配置，易造成安全漏洞 7. 很难为用户在防火墙内外提供一致的安全策略 总之，一方面，防火墙在当今Internet世界中的存在是有生命力的；另一方面，防火墙不能替代内部谨慎的安全措施。因此，它不是解决所有网络安全问题的万能药方，而只是网络安全策略中的一个组成部分。 6.1.3 防火墙的基本类型 从概念上来讲，可以将防火墙分成两种基本类型的防火墙： 1．网络层防火墙 网络层防火墙是作用于网络层的，一般根据源、目的地址做出决策，输入单个的IP包，通常需要分配有效的IP地址块。网络层防火墙一般速度都很快，对用户很透明。 2．应用层防火墙 应用层防火墙作用于网络应用层，是通过软件来分析用户应用层的数据流量，能对通过它的数据流进行记录和审计，能提供更详尽的审计报告。记录和控制所有进出流量的能力是应用层网关的主要优点之一。同时，应用层防火墙还可以充当网络地址翻译器。在某些情况下，设置了应用层防火墙后，可能会对性能造成影响，会使防火墙不太透明。应用层防火墙比网络层防火墙实施更保守的安全模型。 从技术上来讲，可以将防火墙分成传统防火墙，分布式防火墙，嵌入式防火墙和智能防火墙等。 1．嵌入式防火墙 嵌入式防火墙就是将防火墙功能嵌入到路由器或交换机中。 　　2．智能防火墙 　　智能防火墙就是利用统计、记忆、概率和决策的智能方法对数据进行识别，并达到访问控制的目的。 还有按基于实现方法（分硬件、软件防火墙），基于功能（分为FTP、Telnet、Email等防火墙）等方法分类的。 6.1.5 防火墙技术的发展动态和趋势 防火墙产品正向以下趋势发展： 1．优良的性能 2．可扩展的结构和功能 3．简化的安装与管理 4．主动过滤 5．防病毒与防黑客 防火墙技术下一步的走向和选择，可能会包含以下几个方面： （1）防火墙将从目前对子网或内部网络管理的方式向远程网上集中管理的方式发展。 （2）过滤深度不断加强，从目前的地址、服务过滤，发展到URL（页面）过滤、关键字过滤和对ActiveX、Java小应用程序等的过滤，并逐渐有病毒清除功能。 （3）利用防火墙建立专用网VPN是较长一段时间的主流，IP的加密需求越来越强，安全协议的开发是一大热点。 （4）对网络攻击的检测和报警将成为防火墙的重要功能。 （5）安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。 综上所述，未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据