《3.防火墙技术.pptVIP

项目6 防火墙与入侵检测技术的应用  知识目标 ? 了解防火墙、入侵检测的主要应用 ? 掌握防火墙、入侵检测技术的工作原理、作用、体系结构、主要技术 ? 掌握防火墙、入侵检测技术应用的位置 ? 掌握防火墙的基本、简单配置 技能目标 ? 认识防火墙和入侵检测产品 ? 能完成防火墙的基本配置 ? 至少掌握一种防火墙、入侵检测软件的配置和使用 ? 学会防火墙和入侵检测技术在实际网络中的应用 ? 掌握网络访问控制的配置 【项目描述】 在通用的网络安全防护手段中，大部分的用户和管理员都比较注意服务器和用户端病毒、木马、恶意软件的防护，条件允许的企业还安装了防火墙来提高网络安全性。星星有限公司为了保障公司网络安全，购买了一台硬件防火墙，用于防范外部网络的攻击并对内部网络用户的访问进行控制，此外还做了以下规定。 （1）上班时间不能聊QQ或MSN，不能上网玩“种菜”或观看在线电影。 （2）上班时不能下载大容量文件。 另一家杜危软件公司由于条件有限，没有购买防火墙，网络管理员王兴为了网络安全运行，通过配置路由器来执行防火墙的功能。 项目分解 任务一：配置和应用防火墙 任务1-1防火墙的基本配置 任务1-2防火墙的应用 任务1-3防火墙的安放位置 任务二：应用入侵检测技术 任务2-1认识入侵检测系统 任务2-2基于SessionWall的入侵检测 任务实施过程 任务一：配置和应用防火墙 任务1-1防火墙的基本配置 1．防火墙设备初始化配置 2．路由器充当防火墙的基本配置 （1）模拟软件的下载与安装 （2）通过模拟软件实现基本配置 防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 它是不同网络或网络安全域之间信息的唯一出入口 。 防火墙的功能 访问控制 对网络存取和访问进行监控审计 防止内部信息的外泄 支持VPN功能 支持网络地址转换 …… 防火墙的基本特征 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 防火墙的局限性 防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。 防火墙不能解决来自内部网络的攻击和安全问题。 防火墙不能防止策略配置不当或错误配置引起的安全威胁。 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 防火墙不能防止利用服务器系统漏洞所进行的攻击。 防火墙的局限性 防火墙不能防止受病毒感染的文件的传输。 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。 防火墙不能防止可接触的人为或自然的破坏。 按防火墙的体系结构分类 多宿主主机 被屏蔽主机 被屏蔽子网 概念 堡垒主机(Bastion host):堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。 DMZ(Demilitarized Zone，非军事区或者停火区)：为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施。 双宿主主机（Dual-Homed Host Firewall） 双宿主主机(Dual-homed Host):有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。 被屏蔽主机(Screened Host Firewall) 外部网络必须通过堡垒主机才能访问内部网络中的资源。 内部网络中的计算机则可以通过堡垒主机或者屏蔽路由器访问外部网络中的某些资源 被屏蔽子网(Screened subnet Firewall) 内网可以访问外网 内网可以访问DMZ 外网不能访问内网 外网可以访问DMZ中的服务器 DMZ不能访问内网和外网 防火墙实现技术原理 简单包过滤防火墙 动态包过滤(状态检测) 防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 1．简单包过滤防火墙（Packet filtering） 数据包过滤技术的发展：静态包过滤、动态包过滤。 包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项： ① 源、目的IP地址； ② 源、目的端口号； ③ 协议类型； ④ TCP报头的标志位。 简单包过滤防火墙的工作原理1 包过滤防火墙的工