信息安全系统工程防火墙资料精要.pptx

一、防火墙概述;防火墙概述（续）;防火墙的设计目标;防火墙的功能;防火墙的边界保护机制;防火墙面临的潜在的攻击;拒绝服务攻击的方式;防火墙的局限性;防火墙的分类;防火墙的访问效率和安全需求;防火墙的主要性能指标;防火墙的主要性能指标（续）;二、防火墙技术;1、包过滤技术;包过滤技术（续）;包过滤技术示意图;包过滤的依据;IP数据包格式;基于IP的数据包过滤;基于IP的数据包过滤（续）;基于IP的数据包过滤（续）;基于IP的数据包过滤（续）;TCP数据包格式;基于TCP的数据包过滤;TCP连接的3次握手过程;基于UDP的数据包过滤;基于ICMP的数据包过滤;包过滤规则的制定策略;按IP地址过滤;按服务过滤;按服务过滤（续）;网络协议的双向性对包过滤规则制定的影响;在内部到外部的TCP和UDP连接中，内部主机采用的源端口一般是大于1024的随机端口（如下图） 为了支持双向通信，需要允许返回到内部主机的所有大于1024端口的数据包，这是非常危险的。 对于TCP连接：可以通过TCP协议的flag位来辨认从外部到内部的数据包是连接请求还是响应报文 如果是连接请求则拒绝，响应报文（flag中的Ack置位）则放行，从而可以阻止对高于1024端口的非法连接。 而UDP是无连接的协议，没有标准可以区分，只能通过端口号，但是端口号是可以伪造的 如果返回的数据包不是到内部主机随机产生的端口，而是到另一个端口，可能就是一次破坏服务器的尝试。 有些UDP协议的请求端口和目的端口都是固定的，这样防火墙只需简单地允许相应的端口的进出就可以保证安全了。;;数据包过滤的默认安全策略;建立数据包过滤规则的步骤;防火墙对过滤规则的使用;防火墙对过滤规则的使用（续）;例子;MailGate;例子：根据安全策略制定的包过滤规则;包过滤技术的特点;2、代理服务器;代理服务器技术示意图;一个Telnet代理服务器例子;一个Telnet代理服务器例子（续）;代理服务器特点;3、电路级网关;电路级网关示意图;4、状态检测技术;状态检测中的“状态”;;对TCP协议的状态检测;TCP 状态图： 1、粗实线表示客户端的正常路径；2、粗虚线表示服务器端的正常路径； 3、细线表示不常见的事件。 ;对TCP协议的状态???测（续）;对某些应用协议的状态检测;对FTP协议的状态检测;对无连接协议的状态检测;三、防火墙体系结构;1、双重宿主主机体系结构;双重宿主主机体系结构示意图;2、被屏蔽主机体系结构;被屏蔽主机体系结构（续）;被屏蔽主机体系结构示意图;3、被屏蔽子网体系结构;被屏蔽子网体系结构（续）;被屏蔽子网体系结构（续）;被屏蔽子网结构的优点;堡垒主机（ Bastion Host）;四、防火墙的发展趋势;五、网络安全的新技术—UTM;典型的网络安全部署示意图;UTM定义;UTM的功能;UTM的功能（续）;UTM的典型技术;UTM的典型技术（续）;UTM的典型技术（续）;UTM的典型技术（续）;UTM的典型技术（续）;UTM的主要优势;UTM主要存在的问题;小结;作业