第5章防火墙与VPN案例.ppt

防火墙 防火墙：使内部网与Internet之间或者与其他外部网络互相隔离、限制网络互访、保护内部网络的防范措施或设备。 防火墙的设计原则： 由内到外或由外到内的业务流必须经过防火墙 只允许本地安全策略认可的业务流通过防火墙 尽可能控制外部用户访问内域网 具有足够的透明性，保证正常业务的流通 具有抗穿透攻击能力、强化记录、审计和告警。 5.1.5 防火墙不能提供的服务： 无法防范通过防火墙以外的其他途径的攻击 不能防止来自内部的变节者和不经心的用户带来的攻击 不能防止传送已感染病毒的软件或文件 无法防范数据驱动型攻击 5.1.3 防火墙的基本组成 防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理。 IPSec的工作模式 按接入方式的不同： 虚拟专用拨号网络（VPDN） 虚拟专用路由网络(VPRN)：基于路由 虚拟租用线路（VLL）:基于虚拟专线 虚拟专用LAN子网段（VPLS）:用隧道协议仿真出一个局域网。 三种VPN的分类（三） 虚拟专用拨号网络（VPDN） 虚拟专用路由网络（VPRN） 虚拟租用线路（VLL） 虚拟专用LAN子网段（VPLS） 4 1 2 3 按VPN的具体实现即解决方案： 组建VPN应该遵循的设计原则 VPN的设计应该遵循以下原则：安全性、网络优化、VPN管理等（书P90） VPN的应用前景 客观因素 因特网带宽 服务质量QoS 应用前景 客观因素 用户担心数据传输的安全 用户自身的应用跟不上 VPN的几种解决方案 Cisco的解决方案 华为的解决方案 网际先进的解决方案 川大能士的解决方案 VPN Thank you! * 素材天下 PPT模板免费下载无需注册 NN 第五章 防火墙与VPN 课程的主要内容 防火墙的分类 1 防火墙的局限 2 常见的防火墙运用 3 虚拟专用网络（VPN）技术 4 防火墙 外网（非受信网络） 内网（受信网络） 非军事化区（DMZ）： 内网需向外网提供服务的服务器放在一个单独的网段。该网段称之为非军事区。 防火墙的分类（一） 包过滤型 包过滤技术是在网络中的适当位置对数据包实施有选择通过的技术。会检查所有进出防火墙的包标头内容。 它一般作用在网络层，故也称网络层防火墙或IP过滤器。 只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析。 包过滤防火墙的处理速度较快，并且易于配置。 防火墙的分类（二） 包检验型 包检验型的控制机是通过一个检验模组对包中的各个层次作检验。 它可以说是包过滤型的加强版，目的在增加包过滤型的安全性，增加控制“连线”的能力。 检查的对象仍是个别包，不同的包检验方式可能会产生极大的差异。其检验层面越广越安全，但其相对效率也越低。 防火墙的分类（三） 应用层网关型 应用层网关型的防火墙采用将动作拦截，由一个特殊的代理程序来处理两端间的连接的方式，并分析其连线内容是否符合应用协定的标准。 可能必须针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序处理大部分连线。 这种运作方式是最安全的方式，但也是效率最低的一种方式。 运行在应用层 门卫 防火墙的局限性—不能解决的问题 防火墙的局限性 防火墙不能防范不经由防火墙的攻击 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 防火墙不能防范恶意的和不经心的内部人员 防火墙不能防范不断更新的攻击方式 5.2 虚拟专用网络（VPN）技术 1. VPN的提出、功能、优点 2. VPN的基础——隧道协议 3. VPN的解决方案以及常见 4. VPN的适用范围 5. VPN的分类（三种分类） 6. 组建VPN设计原则与前景 虚拟专用网络（VPN）技术 虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 虚拟专用网络（VPN）技术 虚拟专用网络（VPN）技术 VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。对于不同的信息来源，可分别给它们开出不同的隧道。 VPN是一种连接，从表面上看它类似一种专用连接，但实际上是在共享网络上实现的。它往往使用一种被称作“隧道”的技术，数据包在公共网络上的专用“隧道”内传输，专用“隧道”用于建立点对点的连接。（P84） VPN提供的功能 加密数据：以保证