05-网络安全结构设计分析报告.ppt

5.1 影响网络安全的隐患 2008年度中国大陆互联网电脑病毒疫情报告 5.3 网络安全结构设计 5.4 防火墙 有关防火墙的内容 （1）．Cisco PIX 515E防火墙 （2）．3COM SuperStack防火墙 （3）．天融信网络卫士NGFW4000 （3）．天融信网络卫士NGFW4000典型应用 （4）．东软FW4120-M-XE6 5．4．1防火墙概述 总的来说，一个好的防火墙系统应具有以下几个方面的特性和功能： （1） 所有在该内部网和外部网之间交换的数据都可以而且只能经过该防火墙； （2） 只有被防火墙检测后合格，即防火墙系统中安全策略允许的数据才可以自由出入防火墙，其它不合格的数据一律被禁止通过； （3） 防火墙的技术是最新安全的技术，和时代是同步的； （4） 防火墙本身不受任何攻击； 人机界面友好，易于操作，易于系统管理员进行配置和控制。 防火墙 P118 5．4．2防火墙技术 防火墙根据内部所使用的技术一般可以分为：包过滤防火墙、应用级网关和电路级网关。 防火墙 P118 1. 包过滤防火墙 包过滤器的工作是检查每个包的头部中的有关字段。网络管理员可以配置包过滤器，指定要检测哪些字段以及如何处理等等。 防火墙 P118 H H …… H H …… 包过滤器 128．10．0．0 192．5．48．0 2. 应用级网关 应用级网关防火墙安装在网络应用层上，它是一种比包过滤防火墙更加安全的防火墙技术。 防火墙 P119 3. 电路级网关 它的主要技术特点是不允许直接建立端对端的连接，而是将跨越防火墙的网络通信链路分为两段，通过代理服务器建立两个TCP连接。 防火墙 P120 代理服务 代理服务是运行在网络主机上的一个软件应用程序，它就像外部网和内部网之间的中间媒介，筛选进出的数据。 运行代理服务的网络主机称为代理服务器或网关。 对于外部网络，代理服务器相当于内部网络的一台服务器，实际上，它只是内部网络的一台过滤设备。 代理服务器的安全性除了表现在它可以隔断内部和外部网络的直接连接，还可以防止外部网络发现内部网络的地址。 防火墙 P120 代理机制 代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。 就像你要向一个陌生人物递交一份声明一样，如果你先将这份声明交给你的律师，然后律师就会审查你的声明，确认没有什么负面的影响后才由他交给那个陌生人。在此期间，陌生人对你的存在一无所知，因为他仅与你的律师进行交接。如果要对你进行侵犯，他直接面对的将是你的律师，而你的律师当然比你更加清楚该如何对付这种人。 4. 新型防火墙技术 新型防火墙，既有包过滤的功能，又能在应用层进行代理。它具有以下特点： （1）综合包过滤和代理技术，克服二者在安全方面的缺陷。 （2）能从数据链路层一直到应用层施加全方位的控制。 （3）实现TCP/IP协议的微内核，从而在TCP/IP协议层进行各项安全控制。 （4）基于上述微内核，使速度超过传统的包过滤防火墙。 （5）提供透明代理模式，减轻客户端的配置工作。 （6）支持数据加密、解密（DES和RSA），提供对虚拟网VPN的强大支持。 （7）内部信息完全隐藏。 防火墙 P120 5．4．3 防火墙产品介绍 1．Cisco PIX 515E防火墙 2．3COM的SuperStack防火墙 3．天融信网络卫士NGFW4000 4．东软的Neteye 3.2 防火墙 P122 图5-11 Cisco PIX 515E防火墙外观图 防火墙 P122 图5-11 Cisco PIX 515E防火墙外观图 挑错 CSPM/PDM 管理 挑错 190Mbps 网络吞吐量 挑错 13000 并发连接数 挑错 16MB 闪存容量 挑错 32MB 内存容量 挑错 433MHz Intel Celeron CPU 挑错 百兆级防火墙 防火墙类型 参考价格：17000 元 挑错 UL 1950, CSA C22.2 No. 950, EN 60950, IEC 60950, AS/NZS3260, TS001, IEC60825, EN 60825, 21CFR1040 安全标准 挑错 防火墙冗余, 故障切换功能, URL过滤和病毒检测 主要功能 挑错 DoS/IDS 入侵检测 挑错 无用户数限制 人数限制 挑错 130Mbps 过滤带宽 思科PIX-515E-R-BUN安全参数 思科PIX-515