防火墙硬件技术.PPTVIP

《网络信息安全》 定义 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。 防火墙是放置在两个网络之间的一组组件，这组组件具有下列性质：只允许本地安全策略授权的通信信息通过；双向通信信息必须通过防火墙；防火墙本身不会影响信息的流通。 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。 核心思想 在不安全的网际网环境中构造一个相对安全的子网环境。 目的 都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。 防火墙可在链路层、网络层和应用层上实现； 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的； 从网络防御体系上看，防火墙是一种被动防御的保护装置 。 堡垒主机是一台完全暴露给外网攻击的主机。由于堡垒主机完全暴露在外网安全威胁之下，需要做许多工作来设计和配置堡垒主机，使它遭到外网攻击成功的风险性减至最低。常见的堡垒主机包括：Web，Mail，DNS，FTP服务器。 双宿主主机（Dual-Homed Host）结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。 包过滤：对进出网络的数据包进行有选择的控制与操作。 DMZ（demilitarized zone）：隔离区也称为非军事区域，内外网络之间增加的一层网络，起到缓冲作用。 代理服务器：代表内部用户与外部服务器进行信息交换的计算机系统。 1.个人防火墙 是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能； 大家常用的个人防火墙有：Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等； 安装在个人PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。 2.软件防火墙 个人防火墙也是一种纯软件防火墙，但其应用范围较小，且只支持Windows系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差； 作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统，并且多数都支持Unix或Linux系统。如十分著名的Check Point FireWall-1，Microsoft ISA Server 2000等 。 3.一般硬件防火墙 不等同于采用专用芯片的纯硬件防火墙，但和纯软件防火墙有很大差异 ； 一般由小型的防火墙厂商开发，或者是大型厂商开发的中低端产品，应用于中小型企业，功能比较全，但性能一般； 一般都采用PC架构（就是一台嵌入式主机），但使用的各个配件都量身定制 。 其操作系统一般都采用经过精简和修改过内核的Linux或Unix，安全性比使用通用操作系统的纯软件防火墙要好很多，并且不会在上面运行不必要的服务，这样的操作系统基本就没有什么漏洞。但是，这种防火墙使用的操作系统内核一般是固定的，是不可升级的，因此新发现的漏洞对防火墙来说可能是致命的 ； 国内自主开发的防火墙大部分都属于这种类型。 4.纯硬件防火墙 采用专用芯片（非X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙。（专用集成电路（ASIC）芯片或者网络处理器（NP）芯片）； 最大的亮点：高性能，非常高的并发连接数和吞吐量； 采用ASIC芯片的方法在国外比较流行，技术也比较成熟，如美国NetScreen公司的高端防火墙产品；国内芯片级防火墙大多还处于开发发展的阶段，采用的是NP技术。 5.分布式防火墙 前面提到的几种防火墙都属于边界防火墙（Perimeter Firewall），它无法对内部网络实现有效地保护； 随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构——分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于其优越的安全防护体系，符合未来的发展趋势，这一技术一出现就得到了许多用户的认可和接受。 按部署结构分类 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 单一主机防火墙：是最为传统的防火墙，独立于其它网络设备，它位于网络边界。与一台计算机结构差不多，价格昂贵。 路由器集成式防火墙：