day3-3 防火墙培训.ppt

防火墙选购注意点 对于用户来说 1、管理的难易度 2、自身的安全性 3、完善的售后服务 4、完整的安全检查 5、结合用户情况 防火墙技术 安全的范围及措施 防火墙概念及相关术语 防火墙功能及作用 防火墙的分类 防火墙的技术 防火墙的局限性 防火墙发展趋势 防火墙选购注意点 防火墙的典型应用 * 认证：确认系统中的实体和用户的身份真实性，身份认证是应用系统首要的安全措施和基础； 授权：根据身份来确定对信息资源或应用的访问权限； 数据保密性：保证信息不被非授权泄露，包括存储机密性和数据传输加密； 数据完整性：保证信息不被破坏，防止信息在存储或传输过程中不被非授权、恶意或无意修改； 审计记录：针对用户对所有信息访问活动进行记录，实现统计、计费、入侵检测等功能； 防止抵赖与公证：确保用户不能抵赖自己所做的行为，同时提供公证的手段来解决可能出现的争议； 防火墙结构 单一主机防火墙 位于网络边界，独立 路由主机集成式防火墙 路由器中集成了防火墙功能 分布式防火墙 主机和网络 防火墙性能 百兆防火墙 千兆防火墙 使用功能 包过滤防火墙 防病毒墙 反垃圾邮件墙 内容过滤墙 VPN防火墙 防火墙的发展历程 第一阶段：基于路由器的防火墙 第二阶段：用户化的防火墙工具套 第三阶段：建立在通用操作系统上的防火墙 第四阶段：具有安全操作系统的防火墙 基于路由器的防火墙 特点： 利用路由器本身的对分组的解析，以访问控制表的形式控制对分组的过滤； 过滤判别的依据可以是：地址，端口号，ICMP报文等； 只有分组过滤的功能，且防火墙与路由器是一体的。 缺点 路由协议十分灵活，本身具有安全漏洞，外部网络要探询内部网络十分容易； 路由器上的分组过滤规则的设置和配置存在安全隐患； 路由器防火墙的最大隐患是：攻击者可以“假冒”地址，信息在网络上是以明文传送的，黑客可以在网络上伪造假信息欺骗防火墙 路由器本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的，灵活的路由，而防火墙要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。 用户化的防火墙工具套 特点： 将过滤功能从路由器中独立出来，并加上审计和告警功能； 针对用户需求，提供模块化软件包； 软件可通过网络发送，用户可以动手构造防火墙； 与第一代相比，安全性提高了，价格降低了。 缺点 配置和维护过程复杂、费时； 对用户的技术要求高； 全软件实现，安全性和处理速度均有限； 实践表明，使用中出现差错的情况过多。 建立在通用操作系统上的防火墙 特点： 批量上市的防火墙专用产品； 包括分组过滤或者借用路由器的分组过滤功能； 保护用户编程空间和用户可配置内核参数的设置； 安全性和速度大为提高。 缺点： 源码的保密，安全性无从保证； 通用操作系统的厂商不会对操作系统的安全性负责； 既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击； 用户必须依赖两方面的安全。 具有安全操作系统的防火墙 特点： 防火墙厂商具有操作系统的源代码，并可实现安全内核； 对安全内核实现加固处理； 在功能上包括分组过滤、应用网关、电路级网关且具有加密与鉴别功能； 透明性好，易于使用。 防火墙技术 防火墙概念及相关术语 防火墙功能及作用 防火墙的分类 防火墙的技术 防火墙的局限性 防火墙发展趋势 防火墙选购注意点 防火墙的典型应用 防火墙技术 简单包过滤技术 代理技术 复合型防火墙技术 核检查技术 其他关键技术 状态检查技术 地址翻译技术 安全审计技术 安全内核技术 负载平衡技术 内容安全技术 简单包过滤的实现原理 一般由一个包检查模块来实现 简单包过滤技术特点 优点 工作在网络层和传输层 只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析 ，处理速度快、易于配置 缺点 不能防范黑客攻击 IP地址欺骗 不支持应用层协议 不能处理新的安全威胁 不支持状态检测 方向：状态检测防火墙 代理技术的实现原理 代理技术特点 优点 检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强 ，比较安全 缺点 难于配置 不透明 处理速度非常慢 不能支持大规模的并发连接 方向：自适应代理防火墙 复合型的实现原理 复合型技术的特点 可以检查整个数据包内容 可以根据需要建立连接表 网络层保护强 应用层控制细 会话控制弱 核检测防火墙的工作原理 核检查技术的特点 网络层保护强 应用层保护强 会话保护很强 前后报文相关 防火墙技术 防火墙概念及相关术语 防火墙功能及作用 防火墙的分类 防火墙的技术 防火墙的局限性 防火墙发展趋势 防火墙选购注意点 防火墙的典型应用 防火墙的局限性（一） 不能防范恶意的知