Internet技术与应用Chapter9.ppt

* * 硬件防火墙 硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。 硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。 * * 包过滤防火墙 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。 * * 应用网关防火墙 应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。 * * 第9章 网络安全 9.2.2 防火墙的功能 1.包过滤 包过滤是防火墙所要实现的最基本功能，该功能判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等。 2.审计和报警机制 在网络信息传输到防火墙层次，防火墙必须根据规则判断是否允许通过，同时必须作出接受、拒绝、丢弃或加密等决定（Target）。 * * 9.2 防火墙技术 3.远程管理 远程管理功能使得系统管理员可远程登录防火墙，完成对防火墙的配置、管理和监控等操作。 4.路由功能 多数防火墙都具备网络地址转换（路由）功能。 * * 5.代理 目前代理主要有透明代理和传统代理两种实现方式。 6.流量控制（带宽管理）和统计分析、流量计费 7.VPN（虚拟个人网） 该功能可以实现内部网络如何连接外部网络的机制。 * * 第9章 网络安全 9.2.3 防火墙的特点 （1）广泛的服务支持 可支持多种服务协议类型，如HTTP、FTP等。 （2）对私有数据的加密支持 具有一定的加密算法功能，对私有、要求安全性较高的数据进行加密。也就是密钥算法的支持。 （3）客户端认证 只允许指定的、已授权的用户访问内部网络或选择服务。内部数据出口也必须符合定义的安全规范。 * * 第9章 网络安全 （4）反欺骗 欺骗是从外部获取网络访问权的常用手段，能过滤掉伪装成为内部网络的数据包，防火墙能监视这样的数据包并过滤掉，使其不能进入内部网络。 （5）C/S模式和跨平台支持或者远程监控 能远程监控防火墙状态，并提供设置防火墙规范界面管理。 * * 9.3 天网防火墙 天网防火墙是国内第一个通过国家公安部认证的软硬件一体化防火墙，其中的用户包括中央电视台、人民日报社等企事业单位。在国内用户中有着良好的口碑和极高的品牌认知度，占有同类产品中最大的市场份额。 * * 天网防火墙采用优化的3.0内核引擎，优化了数据检测算法，使数据处理的速度更快，确保在处理大批量数据时依然能够应对自如；同时，天网防火墙个人版一如既往地保持了系统资源占有率低的优点，以最低的资源消耗换取最高的网络安全。 对个人计算机而言，运行个人版的天网防火墙就足以提供一个安全的网络环境。 * * 9.3.1 运行天网防火墙 安装天网防火墙只需要双击安装文件，按照安装向导的提示选择安装路径进行安装， 安装完成后单击“开始”︱“程序”︱“天网防火墙＋版本号”（如天网防火墙V014）命令，打开天网防火墙。天网防火墙启动后将在桌面右下角显示其应用程序图标。 * * 第9章 网络安全 9.3.2 天网防火墙的设置 （1）单击“开始”︱“程序”︱天网防火墙＋版本号(例如天网防火墙V014)︱“天网防火墙设置向导”命令，打开天网防火墙设置向导。 （2）单击“下一步”按钮，进入天网防火墙安全级别设置界面。 （3）设置天网防火墙的安全级别，一般设置级别为中。共有低、中、高、扩展和自定义5种级别。 * * 9.3 天网防火墙 （4）单击“下一步”按钮进入局域网信息设置，设置是否开机自动启动天网防火墙，设置局域网内的IP地址，系统会自动获取到当前的IP地址，一般使用默认值。 （5）单击“下一步”按钮进入常用应用程序设置，这里设置常用的可以访问网络的应用程序，如Outlook、IE等。如果允许某个应用程序访问