第6章 防火墙技.pptVIP

6.3 防火墙的体系结构 屏蔽子网体系结构 屏蔽子网结构就是在屏蔽主机结构中再增加一层边界网络（DMZ）的安全机制，使得内部网与外部网之间有二层隔断。 6.3 防火墙的体系结构 防火墙的结构组合策略 多堡垒主机 合并内、外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 6.4 防火墙的部署 防火墙的设计原则 保持设计的简单性 安排事故计划 防火墙的选购原则 第一要素：防火墙的基本功能 第二要素：企业的特殊要求 第三要素：与用户网络结合 6.4 防火墙的部署 常见防火墙产品 Checkpoint Firewall-1 Sonicwall 系列防火墙 NetScreen Firewall Alkatel Internet Devices 系列防火墙 北京天融信公司网络卫士防火墙 NAI Gauntlet防火墙 6.5 防火墙技术的发展趋势 防火墙包过滤技术发展趋势 身份认证技术 多级过滤技术 病毒防火技术 防火墙的体系结构发展趋势 防火墙的系统管理发展趋势 首先是集中式管理，分布式和分层的安全结构是将来的趋势。 强大的审计功能和自动日志分析功能。 网络安全产品的系统化。 6.6 分布式防火墙技术 分布式防火墙的产生 解决边界防火墙以上的不足，当然不是为每对路主机安装防火墙，而是把防火墙的安全防护系统延伸到网络中各对台主机。 分布式防火墙的主要特点 主机驻留 嵌入操作系统内核 类似于个人防火墙 适用于服务器托管 6.6 分布式防火墙技术 分布式防火墙的主要优势 增强的系统安全性 提高了系统性能 系统的扩展性 实施主机策略 应用更为广泛，支持VPN通信 6.6 分布式防火墙技术 分布式防火墙的主要功能 Internet访问控制 应用访问控制 网络状态监控 黑客攻击的防御 日志管理 系统工具 第六章 防火墙技术 计算机信息安全技术 第六章 防火墙技术 目录 6.1 防火墙概述 6.2 防火墙的分类 6.3 防火墙的体系结构 6.4 防火墙的部署 6.5 防火墙技术的发展趋势 6.6 分布式防火墙技术 6.1 防火墙概述 防火墙的定义 防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域之间通信流的唯一通道，能根据用户有关的安全策略控制进出网络的访问行为。 图6.1 防火墙示意图 6.1 防火墙概述 防火墙的特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 只有符合安全策略的数据流才能通过防火墙。 防火墙自身应具有非常强的抗攻击免疫力。 防火墙的功能 防火墙是网络安全的屏障 防火墙可以强化网络安全策略 对网络存取和访问进行监控审计 防止内部信息的外泄 6.1 防火墙概述 防火墙的局限性 一、入侵者可以伪造数据绕过防火墙或者找到防火墙中可能开启的后门； 二、防火墙不能防止来自网络内部的袭击； 三、由于防火墙性能上的限制，通常它不具备实时监控入侵的能力； 四、防火墙对病毒的侵袭也是束手无策。 五、防火墙通常工作在网络层，仅以防火墙则无法检测和防御最新的拒绝服务攻击（DOS）及蠕虫病毒的攻击。 6.2 防火墙的分类 防火墙的发展简史 第一代防火墙 第二、三代防火墙 第四代防火墙 第五代防火墙 一体化安全网关UTM 图6.2 防火墙技术的简单发展历史 6.2 防火墙的分类 按软硬件形式分类 软件防火墙 硬件防火墙 芯片级防火墙 按防火墙技术分类 包过滤（Packet filtering）型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层；它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 6.2 防火墙的分类 包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。 第一代静态包过滤类型防火墙：根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。 图6.3 第一代静态包过滤防火墙工作层次结构 6.2 防火墙的分类 第二代动态包过滤类型防火墙：采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测（Stateful Inspection）技术。 图6.4 第二代动态包过滤防火墙工作层次结构 6.2 防火墙的分类 应用代理（Application Proxy）型 由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害（如SYN攻击、ICMP洪水等），