第九章防火墙与虚拟专用网讲述.pptVIP

二、VPN的应用 1．Intranet VPN Intranet VPN用于连接企业总部网络与企业分部网络或多个异地分部网络，在总部与分部之间建立安全的通信连接。两个异地网络通过VPN安全隧道进行通信。 2．Extranet VPN Extranet VPN是Intranet VPN的扩展，应用于企业内部网络与用户等合作伙伴的网络连接，即将不同单位的属于互不信任的内部网络建立连接。 3．Access VPN Access VPN能使用户随时随地以其所需的方式访问企业资源，可安全地连接移动用户、远程工作者或分支机构。Access VPN最适用于组织内部经常有流动人员远程办公的情况。 一、隧道概念 网络隧道是指在公用网建立的一条类似于专线连接的数据通道。 用户在源节点对数据进行加密、封装、打包后，将数据包通过隧道传输到目标节点，目标节点再对该数据包进行拆封得到原始数据包。 隧道技术是指包括数据封装、传输和解包在内的全过程。 二、隧道类型 1．自愿隧道（Voluntary Tunnel） 2．强制隧道（Compulsory Tunnel） 三、隧道协议* 1．PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议） 2．L2F（Layer 2 Tunneling Protoco，第二层转发协议） 3．L2TP（Layer 2 Forwarding，第二层隧道协议） （1）L2TP协议原理 图9-23 L2TP控制报文格式 ? 图9-24 L2TP数据报文格式 4．IPSec（IP Security，因特网协议安全性） （1）AH（Authentication Header，报文验证头）协议 （2）ESP（Encapsulation Security Payload，封装安全载荷）协议 （3）IKE（Internet Key Exchange因特网密钥交换）协议 （4）第二层和第三层隧道协议的区别 【学习目标】 1．了解防火墙的属性和功能 2．熟悉防火墙的基本类型及工作原理 3．了解虚拟专用网的基本要求与应用 4．熟悉虚拟专用网主要类型 5．了解VPN隧道技术原理 一、防火墙及其属性 网络防火墙是位于两个（或多个）网络间，实施网络之间访问控制的一组软、硬件系统的集合。 防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许用户“同意”的人和数据进入内部网络，同时将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问内部网络。 二、防火墙的特性 1．内部网络和外部网络之间的所有网络数据流都必须经过防火墙 2．只有符合安全策略的数据流才能通过防火墙 3．防火墙自身应具有非常强的抗攻击免疫力 三、防火墙的历史及发展趋势 ? 年份 技术 第一代 1984年 包过滤 第二代 1989年 代理服务 第三代 1992年 动态包过滤 第四代 1998年 自适应代理 表9-1 防火墙的发展阶段 四、防火墙的分类 1．软件防火墙 2．硬件防火墙 3．专用防火墙 五、防火墙的功能 1．防火墙是网络安全的屏障 2．防火墙可以强化网络安全策略 3．对网络存取和访问进行监控审计 4．防止内部信息外泄 一、包过滤防火墙 图9-2 包过滤原理 一、包过滤防火墙 图9-3 包过滤工作过程 无状态包过滤也叫静态包过滤或者无检查包过滤。防火墙在检查数据包报头时，不关心服务器和客户机之间的连接状态，只是根据定义好的过滤规则集检查所有进出防火墙的数据包报头信息，进而允许或者拒绝数据包。 有状态包过滤也叫状态包检查（Stateful Packet Inspection，SPI）或者动态包过滤（Dynamic packet filter），是包过滤器和应用级网关的一种折衷方案，后来发展成为包状态监测技术。 图9-4 有状态包过滤防火墙的工作过程 二、代理服务器防火墙 代理服务器（Proxy Server）防火墙是基于软件的。运行在内部用户和外部主机之间，并且在它们之间转发数据，它像真的墙一样挡在内部网和Internet之间。 1．代理服务器防火墙的工作过程 某主机试图访问某Web站点，需通过代理服务器到达网关，该主机发出连接请求到建立连接的过程如下： （1）主机发出访问Web站点的请求； （2）请求到达代理服务器，代理服务器检查防火墙规则集，检查数据包报头信息和数据； （3）如果不允许该请求发出，代理服务器拒绝请求，发送ICMP消息给源主机； （4）如果允许该请求发出，代理服务器修改源IP地址，创建数据包； （5）代理服务器将数据包发给目的计算机，数据包显示源IP地址来自代理服务器； （6）返回的数据包又被发送到代理服务器。服务器再次根据防火墙规则集