第9章防火墙技术选读.ppt

9.1.1 防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略的系统，它可以是软件，也可以是硬件，或两者并用。 采用防火墙保护内部网有以下优点。 （1）防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客和网络破坏者等）进入内部网。 （2）保护网络中脆弱的服务。 （3）在防火墙上可以很方便地监视网络的安全性，并产生报警。 （4）可以集中安全性。 （5）防火墙可以作为部署（网络地址转换Network Address Translator，NAT）的逻辑地址。 （6）增强保密性和强化私有权。 （7）防火墙是审计和记录Internet使用量的一个最佳地方。 （8）防火墙也可以成为向客户发布信息的地点。 防火墙的分类 从实现技术角度分类 包过滤防火墙 状态检测防火墙 应用网关防火墙 代理防火墙 从形态角度分类 1．用户账号策略 2．用户权限策略 3．信任关系策略 4．包过虑策略 这里主要从以下几个方面来讨论包过滤策略： ? 包过滤控制点； ? 包过滤操作过程； ? 包过滤规则； ? 防止两类不安全设计的措施； ? 对特定协议包的过滤。 5．认证、签名和数据加密策略 6．密钥分配策略 7．审计策略 审计是用来记录如下事件： （1）哪个用户访问哪个对象； （2）用户的访问类型； （3）访问过程是否成功。 2．堡垒主机的选择 （1）选择主机时，应选择一个可以支持多