网络防火墙技术与应用介绍.ppt

* 5.5 下一代防火墙技术 智能识别，多级过滤 ASIC体系结构发展，满足高速高并发，多类型 分布式防火墙，集中式管理 以防火墙为核心的网络安全体系 网络防火墙技术与应用 5、网络防火墙技术与应用 * 教学目标 重点是防火墙安全系统的设计和实施 熟悉防火墙的原理、作用，能在实际工作中选择、设计适合的防火墙系统，并能正确管理 * 要点内容 防火墙的概念、作用与类型 防火墙的设计与实现 基于防火墙的安全网络结构 防火墙的产品与发展 * 能力要求 掌握防火墙的概念、类型、目的与作用 了解防火墙的设计与实现 了解防火墙的安全网络结构 * 5.1 网络防火墙概述 防火墙的是在容易发生火灾的区域与要保护的区域之间设置的一堵墙，将火灾隔离在保护区以外，保证保护区内的安全 网络防火墙是指在两个网络之间加强访问控制的一整套装置，即构造在一个可信网络和不可信网络之间的保护装置，强制所有的访问和连接都必须经过这个保护层，并在此进行连接和安全检查 只有合法的流量才能通过此保护层，从而保护内部网资源免遭非法入侵 * 5.1 网络防火墙概述-有关概念 主机：与网络系统相连的计算机系统 堡垒主机：一个计算机系统，它对外网暴露，又是内网用户的主要连接点，主机必须严加保护 双宿主主机：具有两个网络接口的计算机系统 包过滤：对进出网络的数据流（包）进行有选择的控制与操作。用户设定一系列的规则，指定容许（或拒绝）哪些类型的数据包流入（或流出）网络 参数网络：为了增加一层安全控制，在内网与外网之间增加的一个网络，也称“非军事区”，即DMZ 代理服务器：代表内网用户与外部服务器进行信息交换的系统，它将已认可的内部用户的请求送到外部服务器，同时将外部网络服务器的响应回送给用户 * 网络防火墙的目的 限制访问者进入一个被严格控制的点 防止攻击者接近防御设备 限制访问者离开一个被严格控制的点 检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏 * 网络防火墙的作用 有效收集和记录网络活动和网络误用情况 有效隔离网络中的多个网段，防止一个网段的问题传播到其他网段 作为一个安全检查站，能有效地过滤、筛选和屏蔽有害的信息和服务 作为一个防止不良现象发生的“警察”，能执行和强化网络的安全策略 * 5.2 防火墙的类型-包过滤型防火墙 包过滤型防火墙（Packet Filter Firewall）一般安装在路由器上，工作在网络层。基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户预定的访问控制列表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息过滤 * 5.2 防火墙的类型-包过滤型防火墙 * 5.2 防火墙的类型-包过滤型防火墙 * 5.2 防火墙的类型-代理服务器型防火墙 代理服务器型防火墙（Proxy Service Firewall）通过在主机上运行代理的服务程序，直接面对特定的应用层服务，因此也称为应用型防火墙或应用层网关 其核心是运行于主机上的代理服务进程，该进程代理用户完成TCP/IP功能，是为特定网络应用而连接两个网络的网关。对每种不同的应用（如E-mail、FTP、Telnet、WWW等）都应用一个相应的代理服务 外部网络与内部网络之间想要建立连接，首先必须通过代理服务器的中间转换，内部网络只接收代理服务器提出的要求，拒绝外部网络的直接请求 * 5.2 防火墙的类型-代理服务器型防火墙 * 5.2 防火墙的类型-代理服务器型防火墙 SOCKS是一个可以建立代理的工具，可以方便地将现有的客户机/服务器应用系统转换成代理方式下的具有相同结构的应用系统 能满足一般常用的互联网协议的代理服务器（如Telnet、FTP、HTTP、Rlogin、X.11） * 5.2 防火墙的类型-其他类型的防火墙 电路层网关 Circuit Gateway在网络的传输层上实施访问控制策略，在内、外网络主机之间建立一个虚拟电路进行通信，相当于在防火墙上直接开了个口子进行传输 * 5.2 防火墙的类型-其他类型的防火墙 自适应代理 Self-Adaptive Agent Technology是一种新颖的防火墙技术，在一定程度上反映了防火墙发展动态 该技术根据用户定义的安全策略，动态适应传送中的分组流量 如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最大安全性；一旦代理明确了会话的所有细节，其后的数据包就可以直接到达速度快得多的网络层 * 5.2 防火墙的类型-其他类型的防火墙 混合型防火墙 Hybrid Firewall把包过滤和代理服务等功能结合起来，形成新的防火墙结构，所用主