电子商务信息安全技术教学课件ppt作者陈孟建第五章防火墙技术课件.ppt

电子商务信息安全技术 第五章 防火墙技术 学习目标 1．掌握防火墙的基本概念； 2．掌握防火墙的体系结构； 3．掌握分布式防火墙的概念； 4．掌握个人防火墙的概念及工作原理； 5. 学会防火墙的应用和设置。 5.1 防火墙概述 5.1.1 防火墙概念 1．什么是防火墙 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全，如图5-1所示。 5.1 防火墙概述 5.1 防火墙概述 2．防火墙定义 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为，如图5-2所示。 5.1 防火墙概述 5.1 防火墙概述 5.1.2 防火墙的功能 1．控制并限制访问 2．强化网络安全策略 3．防御功能 （1）支持病毒扫描，支持防病毒功能。 （2）提供内容过滤，支持内容过滤。 （3）能防御的 DoS攻击类型。 （4）阻止 ActiveX、Java、Cookies、Javascript侵入。 4．管理功能 （1）本地管理 （2）远程管理 （3）支持带宽管理 5.1 防火墙概述 5．记录和报表功能 （1）防火墙处理完整日志的方法 （2）提供自动日志扫描 （3）提供自动报表、日志报告书写器 （4）警告通知机制，防火墙应提供告警机制 （5）提供简要报表（按照用户 ID或IP 地址） （6）提供实时统计 （7） 列出获得的国内有关部门许可证类别及号码 6．对网络存取和访问进行监控审计 7．防止内部信息的外泄 5.1 防火墙概述 5.1.3 防火墙的类型 目前市场的防火墙产品非常之多，划分的标准也比较杂。从其形式上来看，有两大种类，一是硬件防火墙，二是软件防火墙。硬件防火墙是一个拥有多个端口的金属盒子，它是一套预装有安全软件的专用安全设备，一般采用专用的操作系统，如图5-3所示。 5.1 防火墙概述 5.1 防火墙概述 1．应用层防火墙 它运行在TCP/IP堆栈结构的最高层，它可以截获一个应用程序的所有数据包。大体上，应用层防火墙可以阻止所有外部的恶意通信达到受保护的机器。通过这种方法，防火墙实际上代表了一个应用程序代理，它支持与远程系统的所有数据交换。其主要观念是要使防火墙后的服务对远程系统不可见。 5.1 防火墙概述 2．电路级防火墙 这种防火墙并不是简单地接受或拒绝数据包，它还可以根据一套可配置的规则来决定一个连接是否合法。如果通过检查，防火墙就打开一个会话，并准许与经过认证的源进行数据通信。防火墙也可以限制这种通信的时间长短。此外，防火墙还可以执行源IP地址和端口、目标IP地址和端口、使用的协议、用户ID、口令等的验证。它也可以执行数据包过滤。 5.1 防火墙概述 3．状态检查多级防火墙 有人称之为最好的防火墙，这种防火墙的目的是为了将多种防火墙的最好特性结合起来。状态检查多级防火墙可以执行网络层的数据包过滤，同时又可以识别和处理应用层的数据。这种防火墙可以提供更高级的网络保护，不过其价格也相对较高。 5.1 防火墙概述 5.1.4 企业如何选购防火墙 1．企业的特殊要求 （1）网络地址转换功能(NAT)? （2）双重DNS? （3）虚拟专用网络(VPN) （4）扫病毒功能? （5）特殊控制需求 5.1 防火墙概述 2．与用户网络结合?? （1）管理的难易度 （2）自身的安全性 （3）完善的售后服务 （4）完整的安全检查 （5）结合用户情况 ① 网络受威胁的程度； ② 若入侵者闯入网络，将要受到的潜在的损失； ③ 其他已经用来保护网络及其资源的安全措施； ④ 由于硬件或软件失效，或防火墙遭到“拒绝服务攻击”，而导致用户不能访问Internet，造成的整个机构的损失； ⑤ 机构所希望提供给Internet的服务，希望能从Internet得到的服务以及可以同时通过防火墙的用户数目； ⑥ 网络是否有经验丰富的管理员； ⑦ 今后可能的要求，如要求增加通过防火墙的网络活动或要求新的Internet服务。 5.2 防火墙体系结构 5.2.1 包过滤型结构 1．结构 包过滤型结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路由器来实现的。包过滤型结构对进出内部网络的所有信息进行分析，按照一定的安全策略对这些信息进行分析与限制，其结