第5节防火墙技术.pptVIP

 第5章 防火墙技术 防火墙的提出 企业上网 面 临 的 安 全 问 题之一: 内部网与互联网的有效隔离 解答: 防火墙 网络间的访问 ----需隔离 FIREWALL 为什么使用防火墙 人们要提的第一个问题可能是为什么要使用防火墙？把每个单独的系统配置好能经受住攻击不就行了吗？ 如果周围没有防火墙，安全就完全仰仗主机自身了。而整个系统的安全将由系统中安全性最差的主机所决定。网络越大，把网络内所有主机维护至同样高的安全水平就越复杂。若一时粗心，就会因简单的配置错误或未能修补所有漏洞导致入侵的发生。 企业的系统和数据有以下三个方面受到防火墙保护： 机密性的风险 包括未经授权就访问敏感数据或数据的过早泄露。 数据完整性的风险 包括未经授权就对数据进行修改，例如财务信息、产品特性或某网站上商品的价格。 可用性的风险 系统可用性保证系统可以适时地为用户服务。 什么是防火墙？ 防火墙的功能？ 防火墙的分类？ 防火墙技术？ 防火墙产品？ 本章内容 ● 防火墙概述 ● 防火墙技术分类 ● 防火墙体系结构 ● 内部防火墙 ● 防火墙产品介绍 5.1 防火墙概述 5.1.1 防火墙的概念 所谓“防火墙”，指的就是一种被放置在内部网络与外界网络之间的防御系统，从网络发往内部网络的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给内部网络，一旦发现有害数据，防火墙就会拦截下来，实现了对内部网络的保护功能。 防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。 它是一种计算机硬件和软件系统集合，是实现网络安全策略的有效工具之一，被广泛地应用到Internet与Intranet之间。 通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。 它就如同一堵带有安全门的墙. 阻止外界对内部网资源的非法访问和通行合法访问 防止内部对外部网的不安全访问和通行安全访问。 防火墙的安全策略有两种： 凡是没有被列为允许访问的服务都是被禁止的。 凡是没有被列为禁止访问的服务都是被允许的。 防火墙基本特性 防火墙是由软件和硬件组成的，可以说： 所有进出内部网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上说防火墙是穿不透的。 防火墙的发展 第一代防火墙：1983年第一代防火墙技术出现，它几乎是与路由器同时问世的。它采用了包过滤（Packet filter）技术，可称为简单包过滤（静态包过滤）防火墙。 第二代防火墙：1991年，贝尔实验室提出了第二代防火墙——应用型防火墙（代理防火墙）的初步结构。 第三代防火墙：1992年，USC信息科学院开发出了基于动态包过滤（Dynamic packet filter）技术的第三代防火墙，后来演变为目前所说的状态检测（Stateful inspection）防火墙。1994年，以色列的CheckPoint公司开发出了第一个采用状态检测技术的商业化产品。 第四代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive proxy）防火墙技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理服务器防火墙赋予了全新的意义。 5.1.2 防火墙的作用 防火墙的主要功能 （1）可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户； （2）防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警； （3）限制内部用户访问特殊站点； （4）记录通过防火墙的信息内容和活动，监视Internet安全提供方便。 好的防火墙，应具有以下特性： （1）所有在内部网络和外部网络之间传输的数据都必须通过防火墙。 （2）只有被授权的合法数据，即防火墙安全策略允许的数据，才可以通过防火墙。 （3）防火墙本身具有预防入侵的功能，不受各种攻击的影响。 （4）人机界面良好，用户配置使用方便，易管理。系统管理员可以方便地对防火墙进行设置，对Internet的访问者、被访问者、访问协议及访问方式进行控制。 5.1.3 防火墙的优、缺点 1．优点 防火墙是加强网络安全的一种有效手段，它有以下优点： （1）防火墙能强化安全策略 （2）防火墙能有效地记录Internet上的活动 （3）防火墙是一个安全策略的检查站 2．缺点 （1）不能防范恶意的内部用户 内部用户可以不经过防火墙窃取数据、破坏硬件和软件 （2）不能防范不通过防火墙的连接 例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 （3）不能防范全部的威