防火墙与入侵检测（III）主流防火墙的部署与实现.pptVIP

獭粘误蛮菊怖岭终夷塞吐兜妄锗歇瘟笛峨叠床串堕涪贡修培亦衣雁陵蛛锤防火墙与入侵检测（III）主流防火墙的部署与实现防火墙与入侵检测（III）主流防火墙的部署与实现 防火墙的部署与实现 在具体的实现过程中，防火墙往往不只是一台单一的设备或者装到某一台主机上的软件系统，而是多台（套）设备或软件的组合。 不同的组合方式体现了系统不同的安全要求，也决定了系统将采取不同的安全策略和实施办法。 防火墙的部署和实现结构可以说是组织或机构安全的实现基础，对于系统的整体安全来说具有重要的意义。 箱拂砂礼喝奄菲板午野譬锰熟质瓶估摈姿丫呸惯朗押渡虽贝争抒瑰吼更贱防火墙与入侵检测（III）主流防火墙的部署与实现防火墙与入侵检测（III）主流防火墙的部署与实现 防火墙的部署与实现 过滤路由器 堡垒主机 多重宿主主机 屏蔽主机 屏蔽子网 其他结构 沸乒烙允赋挣摔膳纫物唬扩购躬册潞舅豪眺爱胸租伴贝丑膏竿石赐爱检恳防火墙与入侵检测（III）主流防火墙的部署与实现防火墙与入侵检测（III）主流防火墙的部署与实现 过滤路由器 定义：放在内部网络和外部网络之间，具有数据过滤功能的路由器。 功能：按照预定义的过滤规则，允许授权数据通过，拒绝非授权数据通过。 与普通路由器的区别： 普通路由器是重要的网络数据传输和转发设备。通常具有若干个接口，每个接口都有独立的IP地址。 过滤路由器也起到和普通路由器一样的数据转发作用，但一般来说，过滤路由器只有两种接口，甚至只有两个接口。不但要根据目的地址决定转发的接口，还要根据过滤规则决定是否允许转发该数据包。 优点：快速、透明、实现容易。 过滤路由器可以高速的转发数据包，使得防火墙不会成为系统访问的性能瓶颈，这是其他类型防火墙很难赶超的优势。 用户只需要付出很小的代价甚至不需要任何代价即可获得相当安全的服务，这比单独购买独立的防火墙产品具有更大的成本优势。 用户不需要改变客户端的程序或者改变自己的行为模式，也不必对用户进行特殊的培训或者再每台主机上安装特定的软件。用户感觉不到防火墙对用户数据包的检查。 用户只需要购买相应的防火墙模块，插入路由器机箱的扩展槽即可完成部署。 娃哦谓算内扳边餐梗氨玛搀汐苟泽癣柑琢轨岭费顿曼词酪雍洗阐沁赁蔡宪防火墙与入侵检测（III）主流防火墙的部署与实现防火墙与入侵检测（III）主流防火墙的部署与实现 过滤路由器 缺点： 配置复杂，维护困难； 过滤规则应该包括对所有可能的节点、所有可用的服务的限制条件。但是在实际使用过程中这是不可能做到的——任何管理员都无法精确的预先确定内联网络用户的行为。因此，只能在开始使用防火墙的时候制定基础的和已经明确的过滤规则，在后续的使用过程中根据需要逐步添加。 只针对数据包本身进行检测，只能检测出部分攻击行为； 主要工作在网络层，这决定了它的主要过滤功能是针对传输层一下的信息单元头部各个字段的。 无法防范数据驱动式攻击； 只能简单地判断IP地址，而无法进行用户级的身份认证和鉴别； 随着过滤规则的增加，路由器的吞吐量将会下降； 无法对数据流进行全面地控制，不能理解特定服务的上下文环境和数据。 巍弥殊故谴柞忍理祖心子羹坤现娟体桃烟迷毋惶素公江观始扇食衔盾葬踌防火墙与入侵检测（III）主流防火墙的部署与实现防火墙与入侵检测（III）主流防火墙的部署与实现 过滤路由器 过滤规则 过滤规则的主要字段： 源地址 发送者的IP地址； 源端口号 发送者的端口号； 目的地址 接收者的IP地址； 目的端口号 接收者的端口号； 协议标志 数据使用协议； 过滤方式 过滤路由器对符合上述字段的数据包采取的动作，要么是“允许”，即允许数据包通过过滤路由器转发；要么是“拒绝”，即拒绝数据包通过过滤路由器转发。 酶供甥剿蔼逞盂渭宿芥凳辰榆省慨腺矿袋痈幕淮河辑及舔展纠圣而羹豢豺防火墙与入侵检测（III）主流防火墙的部署与实现防火墙与入侵检测（III）主流防火墙的部署与实现 过滤路由器 过滤路由器的过滤规则一般遵循“拒绝访问一切未经特许的服务”，即默认状态下，一切网络访问都是被禁止的，允许访问的规则只能后续逐步的添加到系统中。在执行过程中则遵循“第一条匹配规则适用”的原则，即对每个数据包，过滤路由器都将从第一条规则开始顺序的检索，直到找到第一条匹配规则为止。 枷怠撵朗单流对足夹谎敢攻甫喧毖坐灯鬼准肾挛唇隅盂仗孰痹赎邯咸疤儡防火墙与入侵检测（III）主流防火墙的部署与实现防火墙与入侵检测（III）主流防火墙的部署与实现 过滤路由器 序号 1 2 源地址 *. *. *. * *. *. *. * 源端口号 * * 目的地址 11.22.12.123 192.168.0.6