pm1防火墙技术讲座.pptVIP

电路网关 Linux防火墙 近年来，迅速崛起的Linux成为IT产业最引人注目的焦点之一。Linux作为类UNIX的一个网络操作系统，其良好的稳定性、低廉的价格和开放的源代码，在全球产生了巨大的影响。 Linux的防火墙软件包内置于内核当中。在2.2内核中使用了ipchains代替了旧的防火墙工具ipfwadm（在2.4内核中使用了iptables）。 Linux防火墙 其中心思想是根据网络层的IP包头来控制包的流向，因此它是一种基于包过滤型的防火墙。利用ipchains工具，我们可以对IP包进行严格的控制。 包过滤器实际上是一段程序，它检查IP包的包头，决定包的命运。它可以丢弃(DROP)这些包(就好像没收到)、接受(ACCEPT)或拒绝(REJECT)包(如DENY，但它告诉包的发送者已经接收)。 数据包进入防火墙过程 IP伪装原理 IP端口转发原理 NAT(网络地址转换) 负载均衡 Random：随机分配一个服务器 Round Robin：轮流分配 询问主机 防火墙监测 其他功能 日志 流量统计 VPN 现代防火墙技术性能指标 现代防火墙通常指采用一体化的硬件结构，它通过与硬件系统的深层结合，比传统的软件防火墙都更加高效安全且更加实时化。 现代防火墙系统可以根据管理者设定的安全规则把守企业网络，提供强大的访问控制、身份认证、应用选通、网络地址转换(NAT)、信息过滤、虚拟专网(VPN)、流量控制等功能。 一体化的硬件设计 现代防火墙系统与硬件紧密结合，发挥硬件最高效能，提高系统自身安全性。而一般软件型的防火墙需要昂贵的高档工作站支持，同时系统安全受操作系统本身安全问题的影响。 高性能的系统核心 现代防火墙系统核心通常采用专门为TCP/IP、IPX协议等而设计的，避免了目前的各种网络协议已经存在地安全缺陷，能大大提升系统的整体性能。 透明的代理服务 当内部用户需要使用代理访问外部资源时，只要经过身份认证，建立在网络层的代理就会建立透明的通道，让授权用户直接与外界通信，这使传输效率大大提高。其它建立在OSI应用层的代理需要接管用户的每个通信包。透明的代理服务技术使现代防火墙系统的性能凌驾于其它的代理服务器。 双向网络地址转换 系统支持动态、静态、双向的NAT。当用户需要从内部IP访问Internet时，NAT系统会从IP池里取出一个合法的Internet IP，为该用户建立映射。如果需要在Intranet提供让外部访问的服务（如WWW、FTP等），NAT系统可以为Intranet里的服务器建立静态映射，外部用户可以直接访问该服务器。这样Intranet的IP Network就可以与Internet双向通信。IP池中每个IP可同时建立超过上万个的地址映射，可以满足大规模的服务请求。 采用非军事区 除了内部网络界面和外部网络界面，系统通常增加一个网络界面，让管理员灵活应用。如建立DMZ（Demilitarized Zone)，在其中放置公共应用服务器：WWW服务器、SMTP服务器、FTP服务器等。 支持各种标准服务 可以支持哪些传输标准是评价一个防火墙系统的重要指标之一，现代防火墙系统支持多种通信协议和多种应用服务，包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。为了提供对移动业务的支持和多媒体通信的支持，通常在防火墙中还增加对这些业务的支持。 针对性的防御措施 对于特定的攻击，现代防火墙系统通常设有对应的防御措施。常见的TCP/IP Denial-Of-Service Attack、IP Spoof和其它具有潜在危害的网络弱点都可以用现代防火墙系统保护。 智能的内容过滤 系统可以对选定内容进行智能分析、过滤功能。当有符合条件的数据流通本防火墙，系统可以根据一定的逻辑（如关键字的组合）检查内容，条件成立后会根据预先设定的控制逻辑处理该数据流，如拒绝进入、记录备案等，管理员可以观看记录统计结果，实现内容控制。 支持节点分级(PICS)协议 系统支持PICS分级数据库，可以对节点的暴力、裸体、性、语言进行分级处理。根据预设的条件对节点内容进行过滤。并可以定期从Internet上自动更新PICS各组织的分级列表 (Platform for Internet Content Selection) URL级的统计和屏蔽 传统的防火墙系统只能对服务级进行过滤，造成即使只需要屏蔽某个主页，就必须屏蔽整个服务器的结果。现代防火墙系统提供创新的URL级统计、屏蔽功能，管理员可以根据上述内容控制的统计结果，手动或计算机自动屏蔽某些URL，如色情、反动的主页等。由于使用了计算机协助管理，可以大大提高命中率，是现在人工监管不可比拟的。 分布式并行处理 考虑到防火墙系统的扩展能力，随着Internet的迅猛发