防火墙与入侵检测(一)防火墙基础知识.pptVIP

防火墙的实际功能 2 代理 代理技术是与包过滤技术截然不同的另外一种防火墙技术。这种技术在防火墙处将用户的访问请求变成由防火墙代为转发，外部网络看不见内部网络的结构，也无法直接访问内部网络的主机。在防火墙代理服务中，主要有两种实现方式：一是透明代理（Transparent proxy），指内部网络用户在访问外部网络的时候，本机配置无需任何改变，防火墙就像透明的一样；二是传统代理，其工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。相对于包过滤技术，代理技术可以提供更加深入细致的过滤，甚至可以理解应用层的内容，但是实现复杂且速度较慢。 防火墙的实际功能 3 网络地址转换 网络地址转换功能现在已经成为防火墙的标准功能之一。通过这项功能可以很好地屏蔽内部网络的IP地址，对内部网络用户起到保护作用；同时可以用来缓解由于网络规模需速增长而带来的地址空间短缺问题；此外还可以消除组织或机构在变换ISP时带来的重新编址的麻烦。 下面描述一下从内部网络向外部网络建立连接时NAT工作的过程： 1）防火墙对收到的内部访问请求进行过滤，决定允许该访问请求通过还是拒绝。 2）NAT机制将请求中的源IP地址转换为防火墙处可以利用的一个公共IP地址。 3）将变动后的请求信息转发往目的地。 当从目的地返回的响应信息到达防火墙的接口时，防火墙执行如下步骤： 1）NAT将响应数据包中的目的地址转换为发出请求的内部网络主机的IP地址。 2）将该响应数据包发往发出请求的内部网络主机。 防火墙的实际功能 4 虚拟专用网 VPN在不安全的公共网络，例如Internet，上建立一个逻辑的专用数据网络来进行信息的安全传递，目前已经成为在线交换信息的最安全的方式之一。但是传统的防火墙不能对VPN的加密连接进行解密检查，所以是不允许VPN通信通过的，VPN设备也是作为单独产品出现的。现在越来越多的厂家将防火墙和VPN集成在一起，将VPN作为防火墙的一种新的技术配置。多数防火墙支持VPN加密标准，并提供基于硬件的加密，这使得防火墙速度不减但功能更加合理。 防火墙的实际功能 5 用户身份认证 防火墙要对发出网络访问连接请求的用户和用户请求的资源进行认证，确认请求的真实性和授权范围。系统整体安全策略确定了防火墙执行的身份认证级别。与此相应的是防火墙一般支持多种身份认证方案，譬如RADIUS、Kerberos、TACACS／TACACS+、用户名+口令、数字证书等等。 防火墙的实际功能 6 记录、报警、分析与审计 防火墙对于所有通过它的通信量以及由此产生的其它信息要进行记录，并提供日志管理和存储方法。具体内容如下： 自动报表、日志报告书写器：防火墙实现报表自动化输出和日志报告功能。 简要列表：防火墙按要求进行报表分类打印的功能。 自动日志扫描：防火墙的日志自动分析和扫描功能。 图表统计：防火墙进行日志分析后以图形方式输出统计结果。 报警机制是在发生违反安全策略的事件后，防火墙向管理员发出提示通知的机制，各种现代通信手段都可以使用，包括E-mail、呼机、手机等。 分析与审计机制用于监控通信行为，分析日志情况，进而查出安全漏洞和错误配置，完善安全策略。 防火墙的日志记录量往往比较大，通常将日志存储在一台专门的日志服务器上。 防火墙的实际功能 7 管理功能 防火墙的管理功能是将防火墙设备与系统整体安全策略下的其它安全设备联系到一起并相互配合、协调工作的功能，是实现一体化安全必不可少的要素。 一般说来，防火墙的管理包括下列方面： 根据网络安全策略编制防火墙过滤规则。 配置防火墙运行参数。可以通过本地Console口配置、基于不同协议的远程网络化配置等方式进行。 实现防火墙日志的自动化管理。就是实现日志文件的记录、转存、分析、再配置等过程的自动化和智能化。 防火墙的性能管理。包括动态带宽管理、负载均衡、失败恢复等技术。也可以通过本地或者远程多种方式实现。 防火墙的实际功能 8 其他特殊功能 除了上面描述的技术功能外，许多厂家为了显示各自产品的与众不同，还在防火墙中加入了很多其它的功能，比如病毒扫描，有的防火墙具有防病毒功能，可以发现网络数据中包含的危险信息；信息过滤，指防火墙能够过滤URL、HTTP携带的信息、Java Applet、Java Script、ActiveX以及电子邮件中的Subject、To、From域等网络应用信息内容；用户的特定权限设置，包括使用时间、邮件发送权限、件传输权限、使用的主机、所能进行的互联网应用等等，这些内容依据用户需求不同而不同。 防火墙的规则 规则的作用：系统的网络访问政策。 规则内容的分类：高级政策；