2-1-防火墙技术原理.doc

2-1-防火墙技术原理 本文由daianna1118贡献 ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 地址：北京市海淀区上地东路1号华控大厦3层 地址：北京市海淀区上地东路1号华控大厦3 网址： 网址： 1 目录 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 2 安全域1 Host A Host B 防火墙的概念 两个安全域之间通 信流的唯一通道 安全域2 Host C Host D Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP 根据访问控制规则决 定进出网络的行为 一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制 网络安全域之间 一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制 允许、拒绝、监视、记录）进出网络的访问行为。 （允许、拒绝、监视、记录）进出网络的访问行为。 3 目录 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 4 防火墙的发展历程 ? 在路由器中通过ACL规则来实现对数据包的控制； 在路由器中通过ACL规则来实现对数据包的控制； ACL规则来实现对数据包的控制 过滤判断依据：地址、端口号、 过滤判断依据：地址、端口号、协议号等特征 基于路由器的防火墙 ? ? 软件防火墙的初级形式， 软件防火墙的初级形式，具有审计和告警功能 对数据包的访问控制过滤通过专门的软件实现 与第一代防火墙相比，安全性提高了， 与第一代防火墙相比，安全性提高了，价格降低了 防火墙工具套 基于通用操作 系统的防火墙 ? ? 是批量上市的专用软件防火墙产品 安装在通用操作系统之上 安全性依靠软件本身和操作系统本身的整体安全 防火墙厂商具有操作系统的源代码， 防火墙厂商具有操作系统的源代码，并可实现安全内核 功能强大， 功能强大，安全性很高 易于使用和管理 是目前广泛应用的防火墙产品 5 基于安全操作 系统的防火墙 防火墙执行标准 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 18019GB/T 18020-1999 信息技术应用级防火墙安全技术要求 18020GB/T 18336-2001 信息技术安全性评估准则 18336GB/T 17900-1999 网络代理服务器的安全技术要求 17900GB/T 18018-1999 路由器安全技术要求 18018这些标准从安全环境、安全目标、安全要求、 这些标准从安全环境、安全目标、安全要求、基 本原理等方面对防火墙的各种指标进行了规定。 本原理等方面对防火墙的各种指标进行了规定。 6 目录 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 7 防火墙的检测与过滤技术 1. 应用层 Data 包过滤（Packet filtering）：工作在网络层， filtering）：工作在网络层， ）：工作在网络层 包过滤（ 仅根据数据包头中的IP地址、端口号、 IP地址 仅根据数据包头中的IP地址、端口号、协议类 型等标志确定是否允许数据包通过。 型等标志确定是否允许数据包通过。 应用代理（Application Proxy）：工作在应用 Proxy）： ）：工作在应用 应用代理（ 通过编写不同的应用代理程序， 层，通过编写不同的应用代理程序，实现对应 用层数据的检测和分析。 用层数据的检测和分析。 状态检测（Stateful Inspection）：工作在 Inspection）： ）：工作在 状态检测（ 2~4层 访问控制方式与1 2~4层，访问控制方式与1同，但处理的对象不 是单个数据包，而是整个连接， 是单个数据包，而是整个连接，通过规则表和 连接状态表，综合判断是否允许数据包通过。 连接状态表，综合判断是否允许数据包通过。 完全内容检测（Compelete Content 完全内容检测（ Inspection）