10防火墙技术及其应用重点详解.pptVIP

报告内容 基本概念 防火墙配置模式 防火墙相关技术 几个新的方向 基本概念 防火墙定义 为什么需要防火墙 对防火墙的两大需求 防火墙系统四要素 防火墙技术的发展过程 引入防火墙技术的好处 争议及不足 防火墙定义 防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合,它满足以下条件: – 内部和外部之间的所有网络数据流必须经过防火墙 – 只有符合安全政策的数据流才能通过防火墙 – 防火墙自身应对渗透(peneration)免疫 为什么需要防火墙 Why Security is Harder than it Looks 内部网特点 组成结构复杂 各节点通常自主管理 信任边界复杂缺乏有效管理 有显著的内外区别 机构有整体的安全需求 最薄弱环节原则 为什么需要防火墙 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 防火墙系统四要素 安全策略 内部网 外部网 技术手段 防火墙技术发展过程 20世纪70年代和80年代多级系统和安全模型吸引了大量的研究 屏蔽路由器网关 防火墙工具包 商业产品防火墙 新的发展 防火墙技术带来的好处 强化安全策略 有效地记录Internet上的活动 隔离不同网络限制安全问题扩散 是一个安全策略的检查站 争议及不足 报告内容 基本概念 防火墙配置模式 防火墙相关技术 几个新的方向 防火墙简图 防火墙的位置 默认安全策略 没有明确禁止的行为都是允许的 没有明确允许的行为都是禁止的 防火墙体系结构 双宿/多宿主机模式(dualhomed/multi-homed) 屏蔽主机模式 屏蔽子网模式 双宿主机模式 多宿主机模式 屏蔽主机模式 实施中的其他问题 最少服务最小特权原则 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 报告内容 基本概念 防火墙配置模式 防火墙相关技术 几个新的方向 防火墙相关技术 静态包过滤 动态包过滤 应用程序网关(代理服务器) 电路级网关 网络地址翻译 虚拟专用网 静态包过滤 包过滤示例 包过滤示例 (续) 动态包过滤 Check point一项称为“Stateful Inspection”的技术 可动态生成/删除规则 分析高层协议 上一个示例的另一种解法 (续) 包过滤技术的一些实现 应用程序网关 (代理服务器) 应用程序网关的一些实现 电路级网关 拓扑结构同应用程序网关相同 接收客户端连接请求代理客户端完成网络连接 在客户和服务器间中转数据 通用性强 电路级网关实现方式 电路级网关的一些实现 Socks Winsock Dante 网络地址翻译 (NAT) 虚拟专用网 (VPN) 各级网络安全技术 报告内容 基本概念 防火墙配置模式 防火墙相关技术 几个新的方向 关于防火墙技术的一些观点 防火墙技术是一项已成熟的技术 目前更需要的是提高性能尤其是将它集成到更大的安全环境中去时 – 用户界面和管理 – 互操作性 – 标准化 当然其他方面的改进也是存在的 分布式防火墙 分布式防火墙 (续一) 安全增强方面 FTP Guard – 严格MAC 在不同安全级别网络间传递文件 DTE Firewall – 采用一种基于表的MAC 较为灵活 安全网关 安全网关 安全网关 (续一) 安全网关 (续二) 安全网关 (续三) 思考题 描述在下列两种情况下应用程序代理的实现方式 – 协议支持代理 – 协议不支持代理 实现M-N型网络地址翻译算法 比较包过滤应用程序网关和电路级网关 * 《网络信息安全》教程第十章 防火墙技术及其应用 石 鉴 南开大学信息管理与信息系统系 e-mail:shih@ *