防火墙技术原理及其应用.ppt

PART 3 防火墙的产品 Lorem ipsum dolor sit amet 防火墙的产品 ——硬件产品 1. Cisco PIX-515E-R-BUN 防火墙 Cisco PIX-515E-R-BUN 防火墙思科公司的防火墙产品，内置的CPU为Intel Celeton，频率为433MHZ，内存容量为32MB，闪存容量为16MB。它属于百兆级防火墙，并发连接数为5000网络吞吐量达到190MB/s。 特点 ----具有无限软件捆绑，同时处理50000余个连接，吞吐量高达170MB/S。 模板来自于 / * 模板来自于 / * 模板来自于 / * 模板来自于 / * 模板来自于 / * 模板来自于 / * 防火墙技术原理及其应用 01 防火墙的概念功能及其类型 02 防火墙的技术及其发展 03 防火墙的体系结构 04 防火墙的产品 05 防火墙的选择 Contents 目 录 PART 1 防火墙的概念，功能及其类型 Lorem ipsum dolor sit amet 防火墙的概念 1.防火墙(firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障，使Internet与Intranet之间建立起一个安全网关（Security?Gateway），从而保护内部网免受非法用户的侵入。 2.防火墙位于可信网络与不可信网络之间并对二者之间流动的数据包进行检测的一台或多台计算机或路由器。 3.防火墙安全规则由匹配条件和处理方式两部分决定，匹配条件是指对通信流量是否合法的逻辑表达式。 防火墙示意图 防火墙的功能 -——访问控制 ——授权认证 ——内容安全：病毒扫描，URL扫描，Http过滤 ——加密 ——路由器安全管理 ——地址翻译 ——均衡负载 ——日志记账，审计报警 防火墙类型 从防火墙的软、硬件形式划分，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 (1)?软件防火墙? 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。例如SygateFireware、天网防火墙等。 (2) 硬件防火墙 硬件防火墙基于硬件平台的网络防预系统，与芯片级防火墙相比并不需要专门的硬件。目前市场上大多数防火墙都是这种硬件防火墙，他们基于PC架构。 (3) 芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。例如NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），防火墙本身的漏洞比较少，不过价格相对比较高昂。 从防火墙的技术来分的话，防火墙可以分为包过滤型、应用代理型 (1) 包过滤（Packet filtering）型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则从数据流中被丢弃。 (2)?应用代理（Application?Proxy）型? 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种，但也有些防火墙是同时运作于网络层及应用层。 (1)?网络层防火墙? 网络层防火墙可视为一种?IP?封包过滤器，运作在底层的TCP/IP协定堆栈上。以列举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内建的规则。 (2)?应用层防火墙? 应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的信息流或是使用?FTP?时的信息流都是属于这一层。应用层防火墙可以拦截进出某些应用程式的所有封包。 PART two 防火墙的技术及其发展 Lorem ipsum dolor sit amet 防火墙的技术及其发展 基于功能划分 ——第一代防火墙：基于包过滤技术 ——第二代防火墙：电路层防火墙 ——第三代防火墙：应用层防火墙 ——第四代防火墙：基于动态包过滤 ——第五代防火墙：自适应代理技术给代理类型的防火墙赋予了全新的意义 基于实现方式划分 01 基于路由器的防火墙 02 用户化的防火墙 03 建立在通用操作系统上的防火墙