计算机网络安全第七章(防火墙).pptVIP

防火墙 基本概念 防火墙的类型 防火墙的体系结构 防火墙功能 防火墙产品 基本概念 安全需求 防火墙的定义 防火墙的功能 防火墙的实现 防火墙的安全策略 防火墙的局限性 防火墙的性能 防火墙的发展过程 企业网络的现状 常见威胁 粗心大意或不满的员工 例如：社交工程攻击(Social Engineering)。 扬名攻击 恶性程序(Malware) 例如：计算机病毒、特洛伊木马等。 恶性的商业竞争 电脑黑客(Hacker) 常见威胁 端口扫描 (Port Scanning) 常见威胁 拒绝服务攻击(Denial of Service Attacks) 磁盘空间(Disk Space) 网络带宽(Bandwidth) 缓冲区(Buffers) CPU时间(CPU Cycles Usage) 安全的建议 妥善的配置 完善的管理 持续的审核 什么是防火墙 防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止发生火灾的时候蔓延到别的房屋。 什么是防火墙 I T 领域使用的防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙的定义 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙示意图 防火墙典型应用 防火墙的主要功能 防火墙的功能模块 防火墙的实现 软件防火墙 软件防火墙提供防火墙应用软件，需要安装在一些公共的操作系统上，例如：Windows、UNIX，此类防火墙如Checkpoint防火墙。 硬件防火墙 是将防火墙软件安装在专用的硬件平台和专有操作系统（有些硬件防火墙甚至没有操作系统）之上，以硬件形式出现，有的还使用一些专有的ASIC硬件芯片负责数据包的过滤。这样可以减少系统的漏洞，性能更好，是比较常用的方式，例如：Cisco的PIX防火墙。 防火墙的安全策略 一切未被允许的就是禁止的 防火墙首先封锁所有信息流，然后对希望提供的服务逐项开放。这是一种非常使用的方法，可以造成一种十分安全的环境。其弊端是：用户的方便性受到影响，所能使用的服务范围受到严格限制。 一切未被禁止的就是允许的 防火墙首先转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境。其弊端是：在日益增多的网络服务前，网管人员疲于奔命，特别是在受保护的网络范围增大时，很难提供可靠的安全保护。 防火墙的局限性 防火墙不能防御内部攻击 因为来自内部的攻击者是从网络内部发起攻击的，他们的所有攻击行为都不通过防火墙。 防火墙不能防御绕过防火墙的攻击 因为防火墙是一种被动的防御手段，只能守株待兔地对通过它的数据进行检查。 防火墙不能防御不断更新的攻击 因为防火墙制定的安全策略是在已知的攻击模式下制定的，所以对全新的攻击方式缺少阻止功能。 防火墙不能防御数据驱动的攻击 例如：病毒可以附加在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。 例 子内部提供拨号服务绕过防火墙 一对矛盾 防火墙是网络开放性和安全控制性矛盾对立的产物。一方面网络的优势是它的互联互通性，用户希望快速顺畅地访问网站、收发电子邮件等；另一方面，网络也是不安全的，所以需要使用防火墙对网络进行控制，添加安全规则，让用户通过登录来完成访问授权，可这样会使用户感到烦琐，而且需要检查的安全规则越多，网络性能就会越差。所以防火墙的访问效率和安全需求是一对矛盾，应该努力寻找平衡。 防火墙的性能指标 吞吐量 指防火墙在不丢失数据包的情况下能达到的最大的转发数据包的速率。该指标反映了防火墙转发包的能力，对网络性能影响很大，是一项非常重要的指标。 时延 对存储转发设备（例如：路由器），是指从入口处进入的输入帧的最后一个比特到达，到从出口发出的输出帧的第一个比特输出所用的时间间隔。该指标能够衡量出防火墙处理数据的快慢。 防火墙的性能指标 丢包率 指防火墙设备由于资源不足应转发但却未转发的帧所占的百分比。该指标是衡量防火墙设备稳定性和可靠性的重要指标。 背对背 指从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧