第九章防火墙技术技巧.pptVIP

第九章　防火墙技术 ;9.1　防火墙技术概述 ;一、防火墙的定义 ;图9.1　防火墙示意图 ;二、防火墙的发展简史 ;图9.2　防火墙技术的简单发展历史 ;三、设置防火墙的目的和功能 ;四、防火墙的局限性 ;五、防火墙技术发展动态和趋势 ;9.2　防火墙技术 ;一、防火墙的技术分类 ;1．包过滤防火墙;（3）包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差 ；数据包工具存在很多局限性。 ;图9.3　包过滤处理;图9.4　静态包过滤防火墙;图9.5　动态包过滤防火墙;（1）代理防火墙的原理： 代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图9.6所示。;（2）应用层网关型防火墙： 主要保存Internet上那些最常用和最近访问过的内容：在Web上，代理首先试图在本地寻找数据，如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。应用层网关的工作原理如图9.7所示。应用层网关防火墙最突出的优点就是安全，缺点就是速度相对比较慢。;（3）电路层网关防火墙 在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图9.8所示。电路层网关防火墙的工作原理如图9.9所示电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。 ;（4）代理技术的优点 1）代理易于配置。 2）代理能生成各项记录。 3）代理能灵活、完全地控制进出流量、内容。 4）代理能过滤数据内容。 5）代理能为用户提供透明的加密机制。 6）代理可以方便地与其他安全手段集成。 ;（5）代理技术的缺点 1）代理速度较路由器慢。 2）代理对用户不透明。 3）对于每项服务代理可能要求不同的服务器。 4）代理服务不能保证免受所有协议弱点的限制。 5）代理不能改进底层协议的安全性。 ;图9.6　代理的工作方式;图9.7　应用层网关防火墙;图9.8　电路层网关;图9.9　电路层网关防火墙;;二、防火墙的主要技术及实现方式;7．Internet网关技术 8．安全服务器网络（SSN） 9．用户鉴别与加密 10．用户定制服务 11．审计和告警 12．应用网关代理;13．回路级代理服务器 14．代管服务器 15．IP通道（IP Tunnels） 16．隔离域名服务器（Split Domain Name Sever） 17．邮件转发技术（Mail Forwarding）;三、防火墙的常见体系结构 ;图9.10　屏蔽路由器示意图;图9.11　双穴主机网关示意图;图9.12　屏蔽主机网关示意图;图9.13　被屏蔽子网防火墙示意图;9.3　防火墙设计实例 ;一、防火墙产品选购策略;二、典型防火墙产品介绍 ; Office Connect Internet Firewall DMZ可支持多达100个局域网用户，这使局域网上的公共服务器可以被Internet访问，又不会使局域网遭受攻击。 ?????3Com公司所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。它们使整个办公室可以共享ISP提供的一个IP地址，因而节省开支。;2．Cisco PIX防火墙 （1）实时嵌入式操作系统。 （2）保护方案基于自适应安全算法（ASA），可以确保最高的安全性。 ? （3）用于验证和授权的“直通代理”技术。 ?? （4）最多支持250 000个同时连接。 ?? （5） URL过滤。; （6）HP Open View集成。 （7）通过电子邮件和寻呼机提供报警和告警通知。 ??（8）通过专用链路加密卡提供VPN支持。 ?（9）符合委托技术评估计划（TTAP），经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证（PIX520除外）。;三、防火墙设计策略 ;2．设置防火墙的要素 高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。 ;3．服务访问策略 允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。 ;4．防火墙设计策略 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。 ;四、Windows 2000环境下防火墙及NAT