第1讲防火墙基础及防火墙技术.pptVIP

防火墙与入侵检测技术 主讲老师 ： 钱朝阳 防火墙及防火墙技术 安全的概述 常用的安全技术有静态有：物理隔离、防病毒软件、加密技术、用户认证、访问控制、防火墙。动态的有：入侵检测系统等. 防火墙和入侵检测是两种重要的、可以互为补充的安全技术. 两者从不同的角度、不同的层次实现了被保护的网络系统的安全. 入侵检测（核心内容）被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护. 1.1节防火墙基础 什么是防火墙 防火墙基本功能 防火墙的发展历程 防火墙的关键技术 1、防火墙的概念 2、防火墙的概念 3、防火墙的定义 4、防火墙的优 缺点（1） 管理进出网络的访问行为 封堵某些禁止的访问行为 记录通过防火墙的信息和活动 对网络攻击进行检测和告警 可以通过NAT转换节省IP地址，隐藏内部网络结构。 4、防火墙的优缺点（2） 防火墙不能防范来自内部网络的攻击 对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。 防火墙不能防范不经由防火墙的攻击 如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。 防火墙不能防范感染了病毒的软件或文件的传输 防火墙不能防范数据驱动式攻击 当有些表面看来无害的数据邮寄或复制到内部主机上并被执行时，可能会发生数据驱动式的攻击。 4、防火墙的优缺点（3） 防火墙不能防范利用标准网络协议中的缺陷进行攻击 一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击 防火墙不能防范利用服务器系统漏洞进行的攻击 黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止 防火墙不能防范新的网络安全问题 防火墙是一种被动式的防护手段，它只能对现在已知的网络威胁起作用。不可能依靠一次性的防火墙设置来解决永远的网络安全问题 防火墙限制了有用的网络服务 防火墙为了提高保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。 1.2节 防火墙的基本结构 防火墙的基本结构 防火墙的基本结构 防火墙的基本结构 防火墙的基本结构 防火墙的基本结构 防火墙的基本结构 防火墙的基本结构 典型的防火墙结构 1.3节 防火墙的发展历程 防火墙的优缺点 什么是防火墙 防火墙基本功能 防火墙的发展历程 防火墙的技术 防火墙技术的发展历程 第一阶段:基于路由器的防火墙 第二阶段:用户化的防火墙工具套 第三阶段:建立在通用操作系统上的防火墙 第四阶段:具有安全操作系统的防火墙 防火墙技术的发展 第一代防火墙的特点： 利用路由器的访问控制列表(ACL)来实现对分组的过滤。 过滤和判定的依据可以是：地址、端口号、ＩＰ标记及其它网络特征。 只能提供分组过滤的功能。 防火墙技术的发展 第一代防火墙的不足： 由于路由协议十分灵活，本身存在安全漏洞，从外部网络探寻内部网络十分容易。 对过滤规则的设置可能存在安全隐患。 路由器防火墙的最大隐患是：可以假冒地址欺骗路由器。 路由器防火墙的本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙规则设置会大大降低路由器的性能。 防火墙技术的发展 它是纯软件产品又称为代理服务器，它用来提供应用级的控制，起到外部网络向被保护的内部网申请服务时中间转接作用。 第二代防火墙的特点： 将过滤功能从路由器中独立出来，并加上审计和告警功能 ； 提供有针对性需求的模块化的软件包； 用户可根据自己的需求自己动手构造一个防火墙； 防火墙技术的发展 第二代防火墙的不足： 配置和维护起来比较复杂； 对使用者的技术要求较高； 由于是纯软件实现，安全性和性能均有一定的局限性； 防火墙技术的发展 如一个PC上装有2块网卡，并安装Linux操作系统，就可构成简单的第三代防火墙。 第三代防火墙的特点： 包括分组过滤或者借用路由器的分组过滤功能； 装有专用代理系统，监控所有协议的数据和指令； 保护用户编程空间和用户可配置内核参数的设置； 安全性和速度大为提高。 防火墙技术的发展 第三代防火墙的不足： 作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原代码的保密，其安全性无从保证。 由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责； 从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自