信息安全的原则和应用——防火墙技术和应用.pptVIP

1 信息安全原理与应用 第十二章 防火墙技术及应用 本章由王昭主写 芦骡垛拔短惕醋贼读降为诲峭愤皖鸽蜡厩目私腐墟儿亲探命差敲戌淬牧慰信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 2 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 瑚靳寡匡圣摆徽妻于杖蕉特讫氰更像课梅寝匠暂迹旋补端氧览祝风糠折柔信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 3 防火墙定义 防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称 . 一个好的防火墙具备: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透免疫 喊疙忱捕虹免蔗献跃情遏力乃别邯航臂屋喂凤抠赊鸦承蛛节别琶贪架即织信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 4 防火墙的访问控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 贸式原修电吭弘傅疽彝陷翰城召终挪饰遁入秋粥没慢戴诈婚酵撅晕剐返俗信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 5 防火墙的作用 防火墙对企业内部网实现了集中的安全管理 防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换NAT的地点 可以实现重点网段的分离 防火墙是审计和记录网络的访问和使用的最佳地方。 赋娱茸钦栅莫二泰虎蜀昏驯蠢汰譬设遵埠沉济匿呀趾束苇副骑凰句驶宜嘴信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 6 防火墙的局限性 限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。 目前防火墙对于来自网络内部的攻击还无能为力。 防火墙不能防范不经过防火墙的攻击。 可能带来传输延迟、瓶颈及单点失效。 防火墙不能有效地防范数据驱动式攻击。 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 跨倒帐胞碳局沼革孰旧铀府荣阅耍磨烃缘登拙蹈鹿洛彭念圈痴柱琵世嫩会信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 7 防火墙安全策略 在构筑防火墙之前，需要制定一套完整有效的安全战略 网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 防火墙设计策略 一切未被允许的就是禁止的 一切未被禁止的都是允许的 暇样升斯肖架佐鼠倡荫浪职丙拾芜行株茂迂堆盗亥嚎众奸呵稳嚎踞葬家漠信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 8 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 轨实卵滋樟通铬遭哀引榔驮漠洗讼肛勋兴舒惦翔闷瞬堤未烁室惋铂叹屉惺信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 9 防火墙的体系结构 包过滤型防火墙（Package Filtering) 双宿/多宿主机模式 (Dual-Homed /Multi-Homed Host Firewall) 屏蔽主机模式(Screened Host Firewall ) 屏蔽子网模式(Screened Subnet mode) 其他模式 淡供程焙乍篙粤铱袄镣喧越魁坑鳖猖证赫栅烤肚假缉糟号慌纠刹根酞残躬信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 10 几个概念 堡垒主机:Bastion Host 堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。 双宿主机:Dual-homed Host 有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网. DMZ(Demilitarized Zone，非军事区或者停火区) 在内部网络和外部网络之间增加的一个子网 按梭辰魁脂记煽缀册晦培邵困浸己惯返谦郡鳃敖炼钡启秩蹦棺抢僻垄帜梳信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 包过滤防火墙 往往用一台路由器来实现 基本的思想很简单 对所接收的每个数据包进行检查，根据过滤规则，然后决定转发或者丢弃该包 往往配置成双向的 11 虞谷腕樱部傻骨遣乃滨跪临晒爬瀑棕涉酒赚定拧荐章嘲眉难借痢杠咸秸绿信息安全的原则和应用——防火墙技术和应用信息安全的原则和应用——防火墙技术和应用 12 包过滤防火墙 往往用一台路由器来实现 基本的思想很简单 对所