2012_12.防火墙原理.pptVIP

防火墙原理 防火墙的概念 防火墙技术 防火墙的体系结构 防火墙的工作模式 常见的防火墙系统设计 防火墙的概念 防火墙技术 防火墙的体系结构 防火墙的工作模式 常见的防火墙系统设计 从物理角度看，各站点防火墙物理实现的方式有所不同。许多人认为防火墙是一台机器，有一些网络是这种情况。然而，防火墙这一术语和所执行的功能关系更紧密一些，而不是指物理设备。防火墙可以是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。 但是也有纯软件防火墙，如天网个人防火墙。 防火墙逻辑位置结构示意图 防火墙的基本概念 什么是防火墙？ 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。 防火墙的作用 可以确保一个单位内的网络与Internet的通信是符合该单位的安全方针，为管理人员提供下列问题的答案： 谁在使用网络； 他们在网络上做什么； 他们什么时间使用了网络 他们上网去了何处； 谁要上网没有成功。 防火墙一般实施两个基本设计方针之一： （1）只允许访问特定的服务。 一切未被允许的就是禁止的。 ? （2）只拒绝访问特定的服务。 一切未被禁止的就是允许的。 一个好的防火墙应当具备的条件 (1)所有的内部网络和外部网络之间传输的数据都必须通过防火墙； (2)只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙； (3)防火墙本身不受各种攻击的影响； (4)使用目前新的信息安全技术，比如现代密码技术、一次口令系统、智能卡； (5)人机界面良好，用户配置使用方便，易于管理。 防火墙的缺陷： （1）防火墙不能防范不通过它的连接 如果网络具有其他联接方式，比如一台Windows PC 使用一台调制解调器通过I S P 联到Internet 上，因为连接不经过防火墙，因此绕过了防火墙提供的安全控制。 （2）防火墙不能防备全部的威胁 防火墙不能防止许多常见的Internet 问题，如病毒和特洛伊木马。 防火墙的概念 防火墙技术 防火墙的体系结构 防火墙的工作模式 常见的防火墙系统设计 2、防火墙技术 包过滤技术 NAT网络地址翻译技术 代理技术 其它，如状态检查技术、VPN技术，内容检查技术等 （1）包过滤技术 包过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙： (1) 包的目的地址及目的端口。 (2) 包的源地址及源端口。 (3) 包的传送协议。 包过滤技术的优缺点 包过滤技术的优缺点 （2）网络地址转换NAT NAT最初设计是用来增加私有组织的可用地址空间和解决现有的私有TCP/IP网络连接到互联网上IP地址编号不够用的问题。 私有IP地址只能作为内部网络号，不在互联网主干网上使用 通过NAT保证私有IP地址的内部主机或网络能够连接到公用网络上。 （3）代理技术 应用层代理服务器(Proxy) 应用层代理服务器的优缺点 电路级网关 电路级网关防火墙 它仅仅是一种代理，建立起一个回路，对数据包起转发的作用。电路级网关首先从客户端获的一个TCP链接请求，认证并授权该客户端，并代表客户端向源服务器建立TCP连接。如果成功建立好TCP连接，电路级网关则简单地在两个连接之间传递数据。 作为中介，代理服务器隐藏了关于用户的一些信息。假设用户正在从事一项高度保密的项目，那么用户就想对外( Internet )隐藏关于其所在网络的信息—IP 地址等等。代理服务器会把用户地址改成自己的地址，使用一个内部表来解析到正确目的地的进出报文。对于外面的人而言，只有一个IP 地址(代理服务器的IP 地址)可见。 电路级网关的优缺点 优点： 提供NAT，在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关是基于和包过滤防火墙一样的规则。 缺点： 网关仅复制、传递数据，因此不能很好地区别好包与坏包、 电路级网关要求终端用户通过网关的认证。 访问速度变慢，因为不允许用户直接访问网络，而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件，其次，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，尤其是，并非所有的Internet应用软件都可以使用代理服务器。 防火墙的概念 防火墙技术 防火墙的体系结构 防火墙的工作模式 常见的防火墙系统设计 防火墙的体系结构 在防火墙和网络的配置上，有以下四种典型结构 双宿/多宿主机模式 屏蔽主机模式 屏蔽子网模式 其它，如混合结构