信息安全原理与应用-防火墙技术及应用[2].pptVIP

1 信息安全原理与应用 第十二章 防火墙技术及应用 本章由王昭主写 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 2 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 3 防火墙定义 防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称 . 一个好的防火墙具备: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透免疫 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 4 防火墙的访问控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 5 防火墙的作用 防火墙对企业内部网实现了集中的安全管理 防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换NAT的地点 可以实现重点网段的分离 防火墙是审计和记录网络的访问和使用的最佳地方。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 6 防火墙的局限性 限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。 目前防火墙对于来自网络内部的攻击还无能为力。 防火墙不能防范不经过防火墙的攻击。 可能带来传输延迟、瓶颈及单点失效。 防火墙不能有效地防范数据驱动式攻击。 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 7 防火墙安全策略 在构筑防火墙之前，需要制定一套完整有效的安全战略 网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 防火墙设计策略 一切未被允许的就是禁止的 一切未被禁止的都是允许的 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 8 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 9 防火墙的体系结构 包过滤型防火墙（Package Filtering) 双宿/多宿主机模式 (Dual-Homed /Multi-Homed Host Firewall) 屏蔽主机模式(Screened Host Firewall ) 屏蔽子网模式(Screened Subnet mode) 其他模式 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 10 几个概念 堡垒主机:Bastion Host 堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。 双宿主机:Dual-homed Host 有两个网络接口的