第九章防火墙技术概要1.ppt

* * * * * * * * * * * * * * * * * * * * * * 9.14　防火墙建立典型案例 包过滤路由器的应用案例 屏蔽主机防火墙的应用案例 屏蔽子网防火墙的应用案例 某企业防火墙建立案例 防火墙发展趋势 * 屏蔽子网防火墙的应用案例 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机，如图示。由于它支持网络层和应用层的安全，而且还定义一个“非军事区”DMZ（DeMilitarized Zone）网络，因此它建立的是最安全的防火墙系统。 屏蔽子网防火墙系统 * 屏蔽子网防火墙的应用案例 部署屏蔽子网防火墙系统有以下一些优点。 1）入侵者必须闯过三个分开的设备才能够渗透到内部网，这三个设备是外部路由器、堡垒主机、内部路由器。 2）由于外部路由器是DMZ网与互联网的唯一接口，互联网上的系统没有受到内部网路由器的保护，因此可使网络管理者保证内部网对互联网来说是“不可见的”，互联网只有通过路由表和域名系统DNS信息交换才能知道DMZ中的某些系统。 * 屏蔽子网防火墙的应用案例 3）由于内部路由器是DMZ网和内部网的唯一接口，内部网中的系统没有直接受到互联网路由器的保护，从而保证了内部网用户必须通过堡垒主机中的代理服务才能访问互联网。 4）包过滤路由器将业务流发送到DMZ网中指定的设备，因此堡垒主机没有必要是双连接点。 5）当内部路由器作为专用网和互联网之间最后一道防火墙系统时，比双连接点堡垒主机有更大的业务流吞吐量。 6）由于DMZ 网是一个与内部网不同的网，所以可以在堡垒主机上设置安全网络地址转换器从而可不必对内部网重新计数和重新划分子集。 * 9.14　防火墙建立典型案例 包过滤路由器的应用案例 屏蔽主机防火墙的应用案例 屏蔽子网防火墙的应用案例 某企业防火墙建立案例 * 某企业防火墙建立案例 1. 企业需求分析 假设某企业下设有计划部、生产部、市场部、财务部、人事部。市场销售人员分散在各地，并在一些城市设有市场分部。 营运管理方式是：销售人员寻找客户并开订单，订单先传到本地分部，然后由分部传到市场部和财务部。财务部对订货方的信任度进行确认，将准许发货的通知发给市场部，市场部组织货源，并通知财务部。财务部对在规定的时间内对不付款的客户提出警告，或与银行交涉处理。 * 某企业防火墙建立案例 计划部研究分析市场部、财务部发来的有关数据，结合其他信息，提出调整计划，报请总经理批准，然后向生产部、市场部和采购部下达计划。 * 某企业防火墙建立案例 2. 防火墙系统设计方 （1）方案一（如图所示） 防火墙系统实例方案一 * 某企业防火墙建立案例 该系统由于Web服务器在防火墙之外，可以满足企业建立主页以宣传企业的形象、企业内部信息交流和保护内部网络安全等基本要求，对于内部数据安全要求不高的小型企业，此方案是不合适的。 但是，一旦黑客攻破了防火墙，整个内部网络处于完全暴露状态。而且，在外地的销售人员或市场分部与本部的联系易造成安全漏洞，内部的敏感数据只有依靠口令、加密和授权管理保护。 * 某企业防火墙建立案例 （2）方案二（如图所示） 将Web服务器放在防火墙内，有利于企业对Web服务器上的企业主页进行管理和维护。而且，外部用户访问它，必须通过防火墙，可防止大量的非法入侵，如果外部用户访问内部网络，还须再经过访问服务器的过滤，进一步加强了安全性。而且内部用户访问Internet受到限制，例如，只允许E-mail通过。 （3）方案三（如图所示） * 某企业防火墙建立案例 防火墙系统实例方案二 防火墙系统实例方案三 * 某企业防火墙建立案例 前面的方案中，都没有考虑企业内部数据的保护问题。实际上，各个部门之间有些数据是互相公开的，而有些数据只能提供给内部部门或部门内的少数人使用，例如，财务部的数据。这样，为了防止来自内部的攻击，需要对内部网络使用防火墙隔离。这样就可以构建比较完整的防火墙安全系统。 * 9.15　防火墙发展趋势 随着新型网络技术的出现，防火墙技术呈现以下新的发展趋势。 1）目前防火墙在安全性、效率和功能方面的矛盾还是比较突出。 2）数据加密技术的使用，使合法访问更安全。 3）混合使用包过滤技术、代理服务技术和其他一些新技术。 4）目前，人们正在设计新的IP协议IPv6（也被称为 IP version 6）。 5）分布式防火墙。 6）对数据包的全方位的检查。 * * * * * * * * * * * * * * * * * * * * 9.11　依