防火墙技术的概述.docVIP

防火墙技术的概述 本文由刘巧爱贡献 ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 教学引入： 一，复习上一次课内容 二，新内容 （一）防火墙技术的概述 1，定义 防火墙就像门卫一样，要求来访者必须填上自己 的姓名、来访目的、来访事件等，不允许不明人士访 问。 现在，在计算机网络中，为了防止Internet上的各 现在，在计算机网络中，为了防止Internet上的各 种危险(病毒、资源盗用等) 种危险(病毒、资源盗用等)传播到你的网络内部，在 内部网络的周围设立安全控制点，保护内部网络中的 网络资源，这种使网络及其资源不受网络外侵的设备 称为“防火墙”，它的英文名称为“ 称为“防火墙”，它的英文名称为“Fire Wall”,是目前 Wall” 最重要的一种网络防护设备。 具体来讲，防火墙是指为了增强机构内部网络和安全性而设置 在不同网络安全区域之间的一系列部件的组合。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个 分析器，本质上是一个独立的进程或一组紧密结合的进程。从 专业角度来讲，它指的是隔离在本地网络与外界网络之间的一 道防御系统。防火墙可以使计算机企业内部局域网（Intranet） 道防御系统。防火墙可以使计算机企业内部局域网（Intranet） 与互联网（Internet）之间或者与其他外部网络互相隔离、限制 与互联网（Internet）之间或者与其他外部网络互相隔离、限制 网络互访用来保护内部网络。一般防火墙的应用示意图如下： 2，作用 （1）保护脆弱的服务。如可以禁止UNIX系统中的NIS、 NFS服务通过，也可以拒绝源路由和ICMP（网络控制报文协议） 重定向数据包。 （2）控制对系统的访问。如允许外部访问特定的邮件服务 器和Web服务器。 （3）集中的安全管理。对企业内部网实现集中的安全管理， 其安全规则可以运行于整个内部网络系统，无须在每台机器上 分别设立安全策略。 （4）增强的保密性。如禁止DNS服务（封锁DNS域名服务 信息，从而使因特网外部主机无法获取站点名和IP地址）。 （5）记录和统计网络利用数据以及非法使用数据。防火墙 可以记录和统计通过防火墙的网络通信量，提供网络使用的统 计数据，以判断可能的攻击和探测。 （6）策略执行。设置防火墙后，防火墙可以执行网络访问 策略，向用户和服务提供访问控制。 3，防火墙的功能 防火墙作为内部网与外部网之间的一个保护层，使内部网 与外部网之间所有的信息流都必须通过防火墙，并通过监测、 限制、更改所有流进流出防火墙的数据流，达到保护内部网络 免受非法入侵。其主要功能有如下几个方面： （1）防火墙是网络安全的屏障:一个防火墙(作为阻塞点、 控制点)能极大地提高一个内部网络的安全性并通过过滤不安全 的服务而降低风险。 （2）防止内部信息的外泄:利用防火墙对内部网络的划分, 可实现内网重点网段的隔离，从而限制了局部 敏感的网络安全问题对全局网络造成的影响。 （3）防火墙可以强化网络安全策略: 通过以防火墙为中心 的安全方案配置, 能将所有安全软件( 如口令、加密、身份认证、 审计等) 配置在防火墙上。与将网络安全问题分散到各个主机 上相比，防火墙的集中安全管理更经济。 （4）对网络存取和访问进行监控审计:如果所有的访问都经 过防火墙，那么，防火墙就能记录下这些访问并作出日志记录， 同时也能提供网络使用情况的统计数据。当发生可疑动作时， 防火墙就能进行适当的报警，并提供网络是否受到监测和攻击 的详细信息。 除了安全作用，防火墙还支持具有Internet服务特性的企业 内部网络技术体系VPN。通过VPN，将企事业单位在地域上分 布在全世界各地的LAN或专用子网，有机地联成一个整体。不 仅省去了专用通信线路，而且为信息共享提供了技术保障。 （二）防火墙(Firewall)技术 实现防火墙的主要技术有：包过滤技术, 应用代理技术和状态 检测技术等。 包过滤(Packet Filter)技术 包过滤防火墙是最早的防火墙技术，是防火墙所要实现的 最基本功能。包过滤技术也称作分组过滤技术。 1，工作原理：在网络层中对数据包实施有选择的通过。 它根据数据包头源地址，目的地址、端口号和协议类型等标志 确定是否允许通过。只有满足过滤条件的数据包才被转发到相 应的目的地，其余数据包则被从数据流中丢弃，如图2所示。 2．包过滤技术的特点： （1）优点：它对用户来说是简单、方便、透明性好，处理 速度快且易于维护，较高的网络性能，通常作为第一道防线。 比如，当你用netscape浏览Dilbert文档时，在它的页面上会出现 来自的烦人广告，让包过滤禁止任何来自 的包就可以解决问题了。 （2）