第7章firewall研究.ppt

2.防火墙的体系结构发展趋势 随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。 为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。 3.防火墙的系统管理发展趋势 首先是集中式管理，分布式和分层的安全结构是将来的趋势。 强大的审计功能和自动日志分析功能。 网络安全产品的系统化 12.防火墙建立实例 包过滤路由器的应用 屏蔽主机防火墙的应用 屏蔽子网防火墙的应用 屏蔽主机防火墙系统(单连接点堡垒主机) 屏蔽主机防火墙系统(双连接点堡垒主机) 屏蔽子网防火墙的应用 图 7.52 屏蔽子网防火墙系统 1. 企业销售需求分析 假设某企业下设有计划部、生产部、市场部、财务部、人事部。市场销售人员分散在各地，并在一些城市设有市场分部。 某企业销售系统中防火墙建立实例 2. 防火墙系统设计方案 1) 方案一 2） 方案二 3） 方案三 习题 1.简述防火墙工作原理。 2.防火墙的体系结构有哪些？ 3.一个好的防火墙应该具备哪些功能？ 4.介绍一个防火墙产品。 5.选取一个防火墙应该考虑那些因素？ 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 路由器的作用：4点；主要位于不同子网的中间 各种路由器实物图；路由器在网络图中的图标； 路由器转发数据：目的地址与路由进行相与操作～ 路由优先级问题： 路由可以从各个不同协议生成，然后各个不同协议的路由表再进行比较选择，生成路由器核心路由表； 生成核心路由表时比较路由的原则： 先看精确度，按照精度优先匹配，越精确的路由越优先。 （姑先找直连路由，再找主机路由、网段路由，最后默认网关） 若精确度相同，再看路由优先级（度量值、管理距离；优先级值越小越优先，静态路由最优先，OSPF110比RIP120优先） 若优先级相同（同一路由协议生成的两条路由）再看花费值（COST）来定； 链路状态算法衡量路由的开销，用bandwidth值（在路由器串口、内置MODEM上默认是128，因此需要根据 实际带宽进行修） 另外，OSPF，先根据区域内，再区域外，然后再看COST COST值相同，两条路由采用负载均衡方式； （sh ip route看到的（XX/XX），前一个是度量值（管理距离，优先级），后一个是花费（COST）；） 包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。 包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差 ；数据包工具存在很多局限性。 对协议的识别 防火墙软件和宿主主机在同一台机器上 * 1. Web服务器置于防火墙之内 优点：Web服务器 得到保护，不 易被黑客闯入 缺点：不易被外界 所用。 2．Web服务器置于防火墙之外 Web服务器可用于宣传企业形象， 但不受保护，易被黑客闯入 3.Web服务器置于防火墙之上 一旦服务器有一点故障，整个组织站点就全部处于危险中 7. 防火墙的主要技术及实现方式 1) 隔离技术 2) 管理技术 3) 防火墙操作系统的技术 4) 通信堆叠技术 5) 网络地址转换技术（NAT） 6) 多重地址转换技术 7) 虚拟专用网技术 8) 动态密码认证技术 1) 隔离技术 根据其所能支持区域隔离网络数量有三种分类法 (1) Dual-Home ；  (2) Tri-Home ；  (3) Multi-Home 管理内容： (1) 连接来源地址（IP地址、 主机名称、 网络名称、 子网络区段）； (2) 连接目的地址（IP地址、 主机名称、 网络名称、 子网络区段）； (3) 网络服务的类别（HTTP、 Telnet、 FTP、 SMT