计算机组网技术——基于Windows Server 2008 教学课件 作者 王建平 第十二章.ppt

12.3 防火墙技术 本节讲述防火墙的基本概念及软、硬件防火墙的基本配置。 12.3.1 防火墙概述 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，防护墙是提供信息安全服务，实现网络和信息安全的基础设施，如图12-13是防火墙在网络中的位置。 1.防火墙的基本术语 （1）DMZ区 （2）吞吐量 （3）最大连接数 （5）并发连接数 （4）数据包转发率 2.防火墙的功能 防火墙的功能包括限定内部用户访问特殊站点，防止未授权用户访问内部网络，允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源，记录通过防火墙的信息内容和活动，对网络攻击进行监测和报警。 防火墙的分类 （1）包过滤型防火墙 （2）代理型防火墙 （3）基于状态检测的包过滤型防火墙 4.防火墙的工作模式 （1）路由模式 路由模式是防火墙的缺省工作模式，防火墙可以充当路由器，提供路由功能。防火墙位于内部网络和外部网络之间，需要将其与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，如图12-14是路由模式的网络拓扑。 （2）透明桥模式 在透明桥模式中，防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变。透明模式只支持Inside Interface和Outside Interface两个接口。防火墙在透明桥模式下工作时，对用户来说像是网桥或交换机，用户感觉不到防火墙的存在。这种模式对网络结构的变更最小，但是在透明桥模式下，防火墙的功能要受到一些限制，某些过滤功能在透明桥模式下无法实现。此时防火墙类似网桥的工作方式，降低了网络管理的复杂度。如图12-15是透明桥模式下的网络拓扑结构。 （3）混合模式 如果防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能的接口需要配置IP地址，其它接口则不需要配置IP地址。 12.3.2 金山网盾软件防火墙的使用 软件防火墙运行于特定的计算机上，它需要客户机操作系统的支持，软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。软件防火墙一般运行在网络的客户机上，用于对网络主机的保护。软件防火墙的性能一般，不能应用于网络服务器的管理。使用方法见p289-p290 12.3.3 PIX525硬件防火墙的配置 硬件防火墙和芯片级防火墙的区别在于是否基于专用的硬件平台。目前市场上常见的硬件防火墙都是基于PC架构的，它运行经过裁剪和简化的UNIX、Linux、FreeBSD等操作系统实现网络安全控制。 12.4.1 VPN的基本概念 VPN指的是在公用网络中建立专用数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成。 VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。 1.VPN的类型 根据VPN的应用业务大致可分为Access VPN、Intranet VPN与Extranet VPN三类。 Access VPN是指企业员工通过因特网远程拨号的方式访问企业内联网而构筑的VPN，通常也叫做远程拨号VPN。 Intranet VPN是指在一个组织内部如何安全地连接两个相互信任的内联网，要求在公司与分支机构之间建立安全的通信连接。这种应用模式需要做的不仅是要防范外部入侵者对企业内联网的攻击，还要保护在因特网上传送的敏感数据。 Extranet VPN是基于Internet的VPN，虚拟专用网络支持远程访问客户以安全的方式通过公共互联网络远程访问企业资源。 2.VPN隧道协议 目前常见的VPN技术包括IPSec VPN、SSL VPN、MPLS VPN。 （1）IPSec VPN IPSec VPN是基于IPSec技术的虚拟局域网解决方案。（2）SSL VPN SSL VPN是基于SSL技术的虚拟局域网解决方案。 （3）MPLS VPN MPLS VPN以标签交换是作为底层转发机制的虚拟专用网技术。多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。