第八章防火墙技术.pptVIP

第八章 防火墙技术 防火墙的基本概念 PIX防火墙的特性 防火墙技术的三种类型 PIX防火墙的配置 防火墙的概念 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 防火墙的基本概念 所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。 Cisco PIX 520防火墙图片 CPU,RAM Intel EtherExpress Pro/100+ 对防火墙的需求 网络规模/流量增长的需求 可靠性的需求 DDOS攻击防范的需求 蠕虫病毒防范的需求 日志性能需求 安全产品市场分析 各行业对网络安全技术最高使用率对比 防火墙的功能 防火墙是网络安全的屏障 通过过滤不安全的服务而降低风险 防止内部信息的外泄 实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响 对网络存取和访问进行监控审计 防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息 防火墙的附加功能 由于防火墙所处的优越位置（内网与外网的分界点），它在实际应用中也往往加入一些其他功能如NAT、VPN、路由管理等功能。? NAT（Network?Address?Translation）即网络地址转换。即将内网的IP地址或者外网的IP地址转换，一般分为源地址转换Source?NAT（SNAT）和目的地址转换Destination?NAT?（DNAT）。 虚拟专用网（VPN）是指在公共网络中建立专用网络，数据通过安全的“加密通道”（通过对IP包的封装及加密，认证等手段）在公共网络中传播 为什么要加这些附加的功能呢？ 防火墙的发展 防火墙的分类 根据防火墙所采用的技术不同，我们可以将它分为三种基本类型：包过滤型、代理型和基于状态检测的包过滤型。 包过滤型 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。 网络上的每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、 TCP/UDP源端口和目标端口等。 包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。 包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙  代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品， 代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。 ----代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。  ?透明代理（Transparent?proxy）?透明代理实质上属于DNAT的一种，它主要指内网主机需要访问外网主机时，不需要做任何设置，完全意识不到防火墙的存在，而完成内外网的通信。但其基本原理是防火墙截取内网主机与外网通信，由防火墙本身完成与外网主机通信，然后把结果传回给内网主机，在这个过程中，无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。而从外网只能看到防火墙，这就隐藏了内网网络，提高了安全性。? 传统代理?传统代理工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。?如前所述，代理能实现较高的安全性，不足之处是响应变慢。? 基于状态检测的包过滤型 基于状态检测的包过滤型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，基于状态检测的包过滤型防火墙防火墙能够有效地判断出各层中的