第7章防火墙技术祥解.ppt

　　*　　　　　　 安装防火墙以前的网络 §7.3 防火墙的体系结构 　　*　　　　　　 安装防火墙后的网络 §7.3 防火墙的体系结构 　　*　　　　　　 DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。 通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。这样，不管是外部还是内部与对外服务器交换信息数据也要通过防火墙，实现了真正意义上的保护。 DMZ区(demilitarized zone，也称非军事区) §7.3 防火墙的体系结构 　　*　　　　　　 1、双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。可充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。 实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 §7.3 防火墙的体系结构 　　*　　　　　　 2、屏蔽主机体系结构 屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。 堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁 数据包过滤也许堡垒主机开放可允许的连接到外部世界 §7.3 防火墙的体系结构 　　*　　　　　　 3、屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离开。 §7.3 防火墙的体系结构 　　*　　　　　　 最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。 一个位于周边网络与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。 侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，它将仍然必须通过内部路由器。 §7.3 防火墙的体系结构 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * 此为封面页，需列出课程编码、课程名称和课程开发室名称。 要求：每个子课程（6位编码的课程）要求做一个这样的胶片，胶片文件命名为“课程编码 课程名称.ppt”。 此页胶片仅在授课时使用，胶片＋注释中不使用。 封面页按产品分为4个，各产品使用自己的封面，把其他封面直接删除即可。 * * 此页为了让学员和老师对课程安排有一个大致的了解。 此页列出本课程的主要培训标题，列出每章的名称即可。如果章下面的节不多，在此页可以一并列出。 此页胶片仅在授课时使用，胶片＋注释中有专门的目录和标题，不需要重复使用该页面。 * * * 　　*　　　　　　 第7章 防火墙技术 　　*　　　　　　 　　*　　　　　　 课程主要内容 防火墙概述 防火墙体系结构 防火墙分类 防火墙配置 　　*　　　　　　 * 防火墙的英文名称为Firewall，该词是早期建筑领域的专用术语，原指建筑物间的一堵隔离墙，用途是在建筑物失火时阻止火势的蔓延。 在现代计算机网络中，防火墙通常位于一个可信任的内部网络与一个不可信任的外界网络之间，用于保护内部网络免受非法用户的入侵。它在网络环境下构筑内部网和外部网之间的保护层，并通过网络路由和信息过滤的安全实现网络的安全，其会依照特定的规则，允许或是限制传输的数据通过。 §7.1 防火墙概述 　　*　　　　　　 * 防火墙系统的逻辑部署下图所示。 防火墙逻辑部署示意图 　　*　　　　　　 通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部网的不安全访问和通行安全访问。