第五讲防火墙技术.pptVIP

补充：什么是防水墙？ 防水墙，是山丽网安在2004年注册的一个产品商标，与防火墙相对，是一种防止内部信息泄漏的安全产品。 网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。 组成与结构 以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全告警等功能； 基本功能 信息泄漏防范：防止在内部网主机上，通过网络、存储介质、打印机等媒介，有意或无意的扩散本地机密信息； 系统用户管理：记录用户登录系统的信息，为日后的安全审计提供依据； 系统资源安全管理：限制系统软硬件的安装、卸载，控制特定程序的运行，限制系统进入安全模式，控制文件的重命名和删除等操作； 系统实时运行状况监控：通过实时抓取并记录内部网主机的屏幕，来监视内部人员的安全状况在必要时，也可直接控制涉及安全问题的主机的I/O设备，如键盘、鼠标等； 信息安全审计：记录内网安全审计信息，并提供内网主机使用状况、安全事件分析等报告。 返回 * 网络防火墙的基本概念 是在被保护网和外保护网之间执行访问控制策略的一种或一系列部件。 安装在计算机网络上，防止内部的网络系统被人恶意破坏的一个网络安全产品 是网络的第一道防线。 目前主要的网络安全设备 是在被保护网和外保护网之间执行访问控制策略的一种或一系列部件。本质上是一种保护装置，在两个网之间构筑了一个保护层。所有出入此被保护网的传播信息都必须经过此保护层，并在次接受检查和连接，只有授权的通信才允许通过，从而使被保护网和外部网在一定意义下隔离，防止非法入侵和破坏行为。 概括的讲：防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。 * 防火墙的用途（优点） 利用防火墙保护内部网主要有以下优点： 控制对网点的访问和封锁网点信息的泄露 防火墙可看作检查点，所有进出的信息都必须穿过它，为网络安全起把关作用，有效地挡住外来的攻击，对进出的数据进行监视，只允许授权的通信通过。保护网络中脆弱的服务。 能限制被保护子网的泄露 为防止影响一个网段的问题穿过整个网络传播，防火墙可隔离网络的一个网段和另一个网段，从而限制了局部网络安全问题对整个网络的影响。 利用防火墙保护内部网主要有以下优点： 具有审计作用 防火墙能有效地记录Internert网的活动，因为所有传输的信息都必须穿过防火墙，防火墙能帮助记录有关内部网和外部网的互访信息和入侵者的任何企图。 能强制安全策略 Internet网上的许多服务是不安全的，防火墙是这些服务的“交通警察“，它执行站点的安全策略，仅仅允许”认可“和符合规则的服务通过。 此外，防火墙还具有其他优点，如 监视网络的安全并产生报警 保密性，强化私有权 提供加密和解密及便于网络实施密钥管理的能力。 * 防火墙的弱点 虽然网络防火墙在网络安全中起着不可替代的作用，但它不是万能的，有其自身的弱点，主要表现在： 防火墙不能防备病毒 虽然防火墙扫描所有通过的信息，但扫描多半是针对源与目标地址以及断口号，而并非数据细节，有太多类型的病毒和太多种方法可使病毒在数据中隐藏，防火墙在病毒的防范上是不适用的。 防火墙对不通过它的连接无能为力 虽然防火墙能有效的控制所有通过它的信息，但对从网络后门及调制解调器拨入的访问则无能为力。 防火墙不能防备内部人员的攻击 目前防火墙只提供对外部网络用户攻击的防护，对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。所以如果入侵者来自防火墙的内部，防火墙则无能为力。 防火墙限制有用的网络服务 防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。由于多数网络服务在设计之初根本没有考虑安全性，所以都存在安全问题。防火墙限制这些网络服务等于从一个极端走向了另一个极端。 防火墙不能防备新的网络安全问题 防火墙是一种被动式的防护手段，只能对现在已知的网络威胁起作用。随着网络攻击手段的不断更新和新的网络应用的出现，不可能靠一次性的防火墙设置来解决永远的网络安全问题。 * * 防火墙的主要技术 有三种： 包过滤技术 状态检测技术