第三章防火墙与入侵检测.pptVIP

第3章 防火墙与入侵检测（上） 3.1防火墙概述 3.1.1什么是防火墙 防火墙是设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络。防火墙在开放和封闭的界面上构造一个保护层，属于内部范围的业务，依照协议在授权许可下进行；外部对内部网络的访问受到防火墙的限制。 防火墙是一种综合性的技术，涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织（ISO）的安全规范以及安全操作系统等多方面。 防火墙最基本的构件既不是软件又不是硬件，而是构造防火墙的人的思想。 3.1防火墙概述 3.1.1什么是防火墙 3.1防火墙概述 3.1.2 防火墙的功能和准则 不管哪一代防火墙，从总体上看都应具有以下五大基本功能： ⑴过滤进出网络的数据包； ⑵管理进出网络的访问行为； ⑶封堵某些禁止的访问行为； ⑷记录通过防火墙的信息内容和活动； ⑸对网络攻击进行检测和告警。 因此，防火墙的基本准则是： ⑴一切未被允许的就是禁止的 ⑵一切未被禁止的就是允许的 3.1防火墙概述 3.1.3防火墙的优点和缺陷 利用防火墙来保护内部网主要有以下几个方面的优点： ⑴允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客、网络破坏者等)进入内部网络。 ⑵保护网络中脆弱的服务。 ⑶通过防火墙，用户可以很方便地监视网络的安全性，并产生报警信息。 ⑷集中安全性。 ⑸增强保密性、强化私有权。 ⑹防火墙是审计和记录网络流量的一个最佳地方。 3.1防火墙概述 防火墙的主要缺陷有： ⑴限制有用的网络服务： ⑵不能有效防护内部网络用户的攻击： ⑶Internet防火墙无法防范通过防火墙以外的其他途径的攻击。 ⑷防火墙也不能完全防止传送已感染病毒的软件或文件。 ⑸防火墙无法防范数据驱动型的攻击。 ⑹不能防备新的网络安全问题。防火墙是一种被动式的防护手段，它只能对现在已知的网络威胁起作用。 3.1防火墙概述 3.1.4 防火墙的必要性和发展趋势 1．防火墙的必要性 ⑴随着世界各国信息基础设施的逐渐形成，Internet已经成为信息化社会发展的重要保证。许多重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息都通过网络存储、传输和处理。 ⑵难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。 ⑶网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化。 3.1防火墙概述 2．防火墙的未来发展趋势 ⑴优良的性能 ⑵可扩展的结构和功能 ⑶简化的安装与管理 ⑷主动过滤 ⑸防病毒与防黑客 3.2 防火墙体系结构 3.2.1双宿网关防火墙 双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。例如，一个网络接口连到外部的不可信任的网络上，另一个网络接口连接到内部的可信任的网络上。这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下，人们采用代理服务的方法，因为这种方法为用户提供了更为方便的访问手段。也可以通过应用层数据共享来实现对外网的访问。 3.2 防火墙体系结构 3.2 防火墙体系结构 3.2.2屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机（一种被强化的可以防御进攻的计算机）相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙由包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务），所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。 3.2 防火墙体系结构 3.2 防火墙体系结构 3.2.3 屏蔽子网防火墙 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这种防火墙系统最安全，它定义了“非军事区”网络，支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组以及其他公用服务器放在“非军事区”网络中。“非军事区”网络很小，处于因特网和内部网络之间。 本次课到此结束，谢谢欣赏