防火墙工作原理及应用答辩.ppt

防火墙工作原理及应用;7.1 防火墙概念与分类 7.1.1 防火墙简介 7.1.2 包过滤防火墙 7.1.3 代理服务防火墙 7.1.7 复合防火墙 7.1.5 个人防火墙;7.2 防火墙体系结构 7.2.1. 堡垒主机 7.2.2. 非军事区 7.2.3. 屏蔽路由器 7.2.4 双宿主主机体系结构 7.2.5 主机过滤体系结构 7.2.6 子网过滤体系结构 7.2.7 组合体系结构;7.3 防火墙选型与产品简介 7.3.1 防火墙的局限性 7.3.2 开发防火墙安全策略 7.3.3 防火墙选型原则 7.3.4 典型防火墙简介;第七章 防火墙工作原理及应用 ;7.1 防火墙概念与分类 ;图7.1 ;7.1.1 防火墙简介;根据安全策略，从Intranet到Internet 的流量以及响应的返回流量允许通过防火墙。 ;防火墙的基本功能;防火墙能为管理人员提供对下列问题的答案： 什么人在使用网络? 他们什么时间，使用了什么网络资源? 他们连接了什么站点? 他们在网上做什么? 谁要上网,但是没有成功?;防火墙工作在OSI参考模型上;防火墙的发展史;防火墙的两大分类;防火墙两大体系性能的比较;防火墙两大体系性能的比较（续）;防火墙的组成;Internet;防火墙的分类;软件防火墙;硬件防火墙;专用防火墙;7.1.2 包过滤防火墙;帧头 （例如HDLC);No;无状态包过滤防火墙;网络层;无状态包过滤防火墙的优缺点;IP欺骗;无法过滤服务;有状态包过滤防火墙;SPI防火墙;SPI防火墙（续）;;举 例;;SPI防火墙的优缺点;7.1.3 代理服务防火墙;代理服务器原理;举 例;举 例（续）;图7.9 ;代理服务器和包过滤的比较;电路级网关;图7.10 ;举 例;电路级网关的优缺点;应用级网关;基本工作过程;基本工作过程（续）;图7.11;举 例;用户通过23端口Telnet到应用级网关;应用级网关的优缺点;自适应代理防火墙;7.1.7 复合防火墙;网络地址转换;认证、授权、审计;服务质量;其 它;7.1.5 个人防火墙;7.2 防火墙体系结构;7.2.1. 堡垒主机;配置堡垒主机;堡垒主机的配置类型;单宿主堡垒主机;双宿主堡垒主机;内部堡垒主机;外部堡垒主机;受害堡垒主机;7.2.2. 非军事区;创建DMZ的方法;使用一个三脚防火墙;图7.12 ;DMZ置于防火墙之外公网和防火墙之间 ;图7.13;DMZ置于防火墙之外不在公网和防火墙之间的通道??;图7.17;两个防火墙，一个DMZ;图7.15 ;“脏”DMZ;图7.16 ;7.2.3. 屏蔽路由器 ;图7.17;屏蔽路由器的缺点;7.2.7 双宿主主机体系结构;图7.18 ;优 缺 点;7.2.5 主机过滤体系结构;图7.19 ;路由器执行的数据包过滤可以允许内部主机为特定服务打开到Internet 的连接或者拒绝所有从内部主机到Internet 连接的尝试，应该强制内部主机通过堡垒主机发送它们的连接请求。 应该将代理服务器安装在防火墙后面。防火墙应该有一个和Internet的接口，可以对在它后面的代理服务器起到保护作用。这种保护是关键的，因为当代理服务器被黑客攻破时，代理服务器会误以为黑客是内部客户机，而允许其通过代理服务器，这样将会对受保护的网络造成灾难性的后果。;7.2.6 子网过滤体系结构;图7.20;子网过滤体系结构（续）;内部路由器;外部路由器 ;7.2.7 组合体系结构;图7.21 ;;图7.23;图7.27;图7.25;图7.26;7.3 防火墙选型与产品简介;7.3.1 防火墙的局限性;7.3.2 开发防火墙安全策略;安全策略（续）;7.3.3 防火墙选型原则;7.3.7 典型防火墙简介;Checkpoint FireWall-1;FireWall-1的基本模块;Cisco PIX Firewall;Cisco PIX Firewall（续）;;自适应安全算法ASA;ASA遵守以下规则;7.7 本章知识点小结; 小 结（续）; 小结（续）