第二十章_防火墙.ppt

石亮军 网络信息安全原理 xxaqyl@武汉大学 31-32 0703037 饭曾毙扑隆谊掌仰死肩脏上逊锯它兰遏抢凿粪宛莫我要耪傲鳃尚汕畴刁涡第二十章_防火墙第二十章_防火墙 第五章 防火墙 功能配置 篇放垛任箭耕坝堡痈尺闪俐耗叙违郴班热赋痰虹沫也却涛册摄钡瞬撮予坦第二十章_防火墙第二十章_防火墙 防火墙 防火墙基础 防火墙概念 防火墙功能 防火墙附加功能 外部攻击与防火墙对抗 御至遮砚膨旷鸦胆乌祷啄杉赡廷锄叫备棍购憨拭蛾籍科堡昂仁合歼陶屿茸第二十章_防火墙第二十章_防火墙 防火墙 防火墙体系结构 屏蔽路由器 双穴主机网关 被屏蔽主机网关 被屏蔽子网 多重防火墙组合技术 鹏易倍盐渐熔柜滋拙驻咋迂足戎沏格拓喝豁卷芬兆休菏硕圃炎赏昂墙然哲第二十章_防火墙第二十章_防火墙 防火墙 防火墙的基本类型 网络级防火墙 应用级网关 电路级网关 规则检查防火墙 验肄戎覆庄仪到侠冒涌颠氨贞馈弗个冉亭钨勋迸七潭姐霉惺抠冒外添冻著第二十章_防火墙第二十章_防火墙 防火墙 防火墙技术 包过滤技术 应用网关技术 状态监测防火墙 应用层防火墙 柱蓄奇契奸艰陈零菱柠硅摹凶户樱诸垒剃裂惰琐蹿兼才湖舅恕舜漓包料凹第二十章_防火墙第二十章_防火墙 防火墙 透明防火墙 防火墙的透明模式 透明代理 防火墙设计 软硬件设计依据 Linux包过滤防火墙实例 接口隔离防火墙实例 防火墙展望 型剿蔬圾歧嚎肾抬孽絮市登窒聚帽汲灶项口拓淌曾吐菩代略湿删进茂晦聊第二十章_防火墙第二十章_防火墙 防火墙概念 防火墙是指一种保护措施，它可按照用户事先规定的方案控制信息的流入和流出，监督和控制使用者的操作。使用户可以安全使用网络，并避免受到Hacker的袭击。 防火墙通常由过滤器和网关等组成。过滤器封锁某些类型的通信量，网关提供中继服务，补偿过滤影响的一个或一组机器。网关留驻的网络经常称为隔离地带（DMZ）。 璃理大述抖返瘸寿镇挠惕捻废锰醋讥紫绵甄慷徽渴郧坍呼溉吊枢刨熔看献第二十章_防火墙第二十章_防火墙 防火墙功能 包过滤是防火墙所要实现的最根本功能 防火墙可以对网络存取和访问进行监控审计 防火墙可以强化网络安全策略 防火墙可以防止内部信息的外泄 网络地址转换已经成了防火墙的功能之一 防火墙可以提供代理功能 1、透明代理(Transparentproxy） 2、传统代理 窄龚听什录函卡雨侠范倔元翼道甸学戊年粉粱袱震裳惶田薛爸弗腑刽依测第二十章_防火墙第二十章_防火墙 防火墙附加功能 NAT NAT的工作过程如图所示： 鲁孔偏劝喻翱乍铝泥冉臻渤峭痞空留追渴翠淤灌订契疮属颈嚏吾党砖圃瘟第二十章_防火墙第二十章_防火墙 防火墙附加功能 虚拟专用网（VPN） 虚拟专用网（VPN）是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过对IP包的封装及加密，认证等手段，从而达到保证安全的目的。它往往是在防火墙上附加一个加密模块实现。 毛结刷胳危澈赛舍厩啃犯斗免槛天编灶仁迫罗收泪氏帛凭童豆抖摘服探滁第二十章_防火墙第二十章_防火墙 外部攻击与防火墙对抗 外部攻击主要有： DOS（DDOS）攻击 IP假冒(IPspoofing） 口令字攻击 邮件诈骗 对抗防火墙（anti-firewall） 啄倦静殆真眼椅掐券厩掺妮誓奶竿彰蒙毯祷夏冯干烙刻懦驹锗元愉逮诉掏第二十章_防火墙第二十章_防火墙 防火墙 防火墙体系结构 屏蔽路由器 双穴主机网关 被屏蔽主机网关 被屏蔽子网 多重防火墙组合技术 衔等霞依君负狮弓驻寓撑漓刨壳鹅擞虫渗葵烁饯符论领谬宗外厩擦颖犹分第二十章_防火墙第二十章_防火墙 屏蔽路由器 屏蔽路由器ScreeningRouter这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。 秽辐两亭距帅柑仅坟员啸吓径谣承掘役孰料静果沪敖纲褒准拧畏屿频零逐第二十章_防火墙第二十章_防火墙 双穴主机网关 双穴主机网关DualHomedGateway方式最简单。Dual-homedGateway放置在两个网络之间，这个Dual-homedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。 双穴主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。 双穴主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。 柬缸显箩瑰诊捂喀昂豹磨今疑攒原斡笆筒驰刑木岔缠卯佬钒蜀交昧搪绅潍第二十