防火墙与网络安全.pptVIP

防火墙与网络安全 §1.1 防火墙概念 §1.1 防火墙概念 §1.2 防火墙功能 §1.3 防火墙分类 §1.3 防火墙分类 §2.1 防火墙设计——屏蔽路由器 §2.2 防火墙设计——双穴主机网关 §2.3 防火墙设计——屏蔽主机网关 §2.4 防火墙设计——屏蔽子网网关 §3.1 防火墙产品——Netscreen-100 §3.2 防火墙产品——应用案例 * * 主要内容： 防火墙概念 防火墙功能 防火墙分类 防火墙设计 防火墙产品介绍 网络防火墙是指隔离在内网与外网之间的一道防御系统，防火墙可以监控进出网络的通信信息，仅让安全、核准了的信息进入，拒绝抵制不安全的数据。 防火墙的工作姿态： 拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞 所有的信息，而每一种所期望的服务或应用都是实现在case- by-case的基础上。 允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发 所有的信息，任何可能存在危害的服务都应在case-by-case的 基础上关掉。 主要功能： 控制进出网络的信息包，作为中心“扼制点”，集中管理网络安全； 支持网络使用与流量日志与审计，管理和监控网络的访问； 实施NAT，缓解地址空间短缺的问题，同时隐藏内部网络结构的细节； 部署WWW和FTP服务器 ，同时向内网与外网客户发布信息； 主要限制： 无法防范通过防火墙以外的其它途径的攻击； 不能防止传送已感染病毒的软件或文件； 无法防范数据驱动型的攻击。 不能防止来自内部变节者和不经心的用户带来的威胁； 安全策略： 必须建立了全方位的防御体系，规定网络访问、服务访问、本地和远地的用户认证、磁盘和数据加密、病毒防护措施，以及雇员培训等。 按实现方式分 软件防火墙 实现：在通用的计算机系统上安装防火墙软件，通过防火墙软件设置安全策略。 特点：软件防火墙成本相对较低，功能丰富灵活，可以工作在网络层和应用层； 软件防火墙采用软件实现，性能受到影响； 软件防火墙建立在通用的计算机及操作系统之上，本身存在安全性弱点； 硬件防火墙 实现：采用专用的硬件和软件合成的防火墙，通过防火墙提供的配置命令设置安全策略。 特点：硬件防火墙的硬件、软件都是专门针对防火墙功能而设计的，与软件防火墙相比 具有高安全性、高性能等优点，但灵活性不如软件防火墙。 按实现原理分 包过滤防火墙 原理：在网络层和传输层对数据包实施有选择的通过，依据预先设定好的过滤规则ACL， 检查经过的每个数据包，根据数据包的源IP地址/目标IP地址/协议/端口确定是否 允许通过。 实现：路由器一般都具备包过滤功能。 应用级防火墙 原理：应用级防火墙采用代理服务的方式， 防火墙内外的计算机系统应用层的链接是在 两个终止于代理服务的链接来实现， 这样便隔离了防火墙内外计算机系统的任何 直接链接，然后由代理按照制定的规则对数据包进行过滤处理； 实现：应用级防火墙一般采用在通用计算机系统上安装软件防火墙实现，即代理服务器。 实现：采用路由器配置包过滤防火墙，设置ACL、NAT等包过滤防火墙的基本功能。 特点： 支持网络层的安全策略：过滤特定网络服务的数据包，防御源IP地址欺骗式 攻击（伪装内网IP）、源路由攻击（旁路）等；不支持应用层次的安全策略。 单纯的包过滤防火墙的安全机制是比较脆弱，无法抵御来自数据驱动式攻击 的潜在危险，且对黑客来说是比较容易攻击的。 实现： 采用一台装有两块网卡的主机（堡垒主机）做防火墙，两块网卡分别与内网和外部网相连， 堡垒主机上运行防火墙软件提供代理服务，阻断了内外网数据的直接交换，由堡垒主机根 据规则转发，属于应用级防火墙，即代理服务器。 特点： 与屏蔽路由器（包过滤）相比，应用级防火墙工作在应用层，能够对服务进行全面的 控制，支持应用层安全策略，如限制服务的命令集，支持应用层次上的过滤，维护系 统日志等。 一旦黑客侵入堡垒主机，使其只具有路由功能，任何网上用户均可以随便访问内部网。 实现： 将堡垒主机与屏蔽路由器组合，堡垒主机配置在内部网络上，而包过滤路由器放置在内网 和Internet之间。 路由器上设置包过滤规则，使得堡垒主机成为从外网唯一可直接到达的主机，阻塞去往内 部系统上其它主机的信息，同时只接受来自堡垒主机的内部数据包，强制内部用户使用代 理服务；