第6章防火墙技术讲解.pptVIP

6.3 防火墙的体系结构 应用层代理服务，在双宿主机上运行代理服务器 图6.10 双宿主主机结构防火墙（应用层代理服务） （1）屏蔽主机结构中提供安全保护的主机仅仅与内部网相连。此外还有一台单独的包过滤路由器，它的作用是避免用户直接与内部网络相连。 （2）过滤路由器按如下规则过滤数据包：任何外部网的主机都只能与内部网的堡垒主机建立连接，甚至只有提供某些类型服务的外部网的主机才被允许与堡垒主机建立连接。 （3）任何外部系统对内部网络的操作都必须经过堡垒主机，同时堡垒主机本身具有较全面的安全维护。 （4）在一台路由器上施加安全保护，比在一台主机上施加保护更便于管理，具有可操作性。 （5）只要黑客设法通过了堡垒主机，那么整个内部网与堡垒主机之间就不再有任何阻碍；同样，路由器的保护也存在相同的缺陷，若黑客闯过路由器，那么整个内部网便会完全暴露。 6.3 防火墙的体系结构 屏蔽主机体系结构 6.3 防火墙的体系结构 图6.12 屏蔽主机防火墙转发数据包的过程 6.3 防火墙的体系结构 屏蔽子网体系结构 屏蔽子网结构就是在屏蔽主机结构中再增加一层边界网络（DMZ）的安全机制，使得内部网与外部网之间有二层隔断。 图6.13 屏蔽子网防火墙结构示意图 在屏蔽子网结构中，有二台与边界网络直接相连的过滤路由器，一台位于边界网络与外部网之间，我们称之为外部路由器；另一台位于边界网络与内部网络之间，我们称之为内部路由器； 屏蔽子网结构解决了双宿主主机和屏蔽主机两种结构的不足，是一种具有较完整体系结构，并且常用的防火墙构建方案。 6.3 防火墙的体系结构 防火墙的结构组合策略 多堡垒主机 合并内、外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 6.4 防火墙的部署（自学） 防火墙的设计原则 保持设计的简单性 安排事故计划 防火墙的选购原则 第一要素：防火墙的基本功能 第二要素：企业的特殊要求 第三要素：与用户网络结合 6.4 防火墙的部署（自学） 常见防火墙产品 Checkpoint Firewall-1 Sonicwall 系列防火墙 NetScreen Firewall Alkatel Internet Devices 系列防火墙 北京天融信公司网络卫士防火墙 NAI Gauntlet防火墙 6.5 防火墙技术的发展趋势（自学） 防火墙包过滤技术发展趋势 身份认证技术 多级过滤技术 病毒防护技术 防火墙的体系结构发展趋势 防火墙的系统管理发展趋势 首先是集中式管理，分布式和分层的安全结构是将来的趋势。 强大的审计功能和自动日志分析功能。 网络安全产品的系统化。 分布式防火墙体系结构包含如下部分： 网络防火墙(Network Firewall) 用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界防火墙相比，网络防火墙增加了一种针对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。 主机防火墙(Host Firewall) 作用在同一内部子网之间的工作站与服务器之间，确保内部网络服务器的安全。因此，防火墙的作用不仅用于内部网与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间的防护。 中心管理(Central Management) 这是防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志汇总。可进行智能管理，提高了防火墙安全防护的灵活性，具备了可管理性。 * 6.6 分布式防火墙技术(自学) 6.6 分布式防火墙技术(自学) 分布式防火墙的主要特点 主机驻留 安全策略不仅仅停留在网络与网络之间，而是延伸到网络末端。 嵌入操作系统内核 安全监测核心引擎以嵌入操作系统内核的形态运行，直接接管网卡，将所有数据包检查后提交操作系统。 6.6 分布式防火墙技术(自学) 分布式防火墙的主要特点 类似于个人防火墙 个人防火墙的安全策略由系统使用者自己设置，其目标是防止主机以外的任何外部用户攻击；而分布式防火墙的安全策略由整个系统管理员统一安排和设置，除了对主机起到保护作用外，还对该主机的对外访问加以控制，并且这种安全机制是主机使用者不可见和不可改动的； 个人防火墙直接面向个人用户，而分布式防火墙体系中的主机防火墙是面向企业级用户的。 适用于服务器托管 利用中心管理软件对被托管服务器进行远程监控。 6.6 分布式防火墙技术(自学) 分布式防火墙的主要优势 增强的系统安全性 提高了系统性能 系统的扩展性 实施主机策略