第五章防火墙技术58.pptVIP

* 防火墙的体系结构 屏蔽子网（Screened SubNet）式体系结构 这种体系结构本质上与屏蔽主机是一样的，但是增加了一层保护体系——周边网络，而堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开。 由前可知，当堡垒主机被入侵之后，整个内部网络就处于危险之中。堡垒主机是最易受侵袭的，虽然其很坚固，不易被入侵者控制，但万一被控制，如果采用了屏蔽子网（Screened SubNet）式体系结构，入侵者仍不能直接侵袭内部网络，内部网络仍受到内部屏蔽路由器的保护。 * 防火墙的构筑原则 构筑防火墙要从以下几方面考虑： 体系结构的设计 安全策略的制定 安全策略的实施 * * * 防火墙的体系结构 屏蔽子网式体系结构 Internet 堡垒主机 屏蔽路由器 屏蔽路由器 周边网络 堡垒主机（Bastion Host）是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。 * 防火墙的构筑原则 构筑防火墙要从以下几方面考虑： 体系结构的设计 安全策略的制定 安全策略的实施 * 防火墙的性能指标 * 主流防火墙产品 * NetScreen 硬件新贵 　 　　NetScreen公司的NetScreen防火墙产品是一种新型的网络安全硬件产品，目前其发展状况非常好，可以说是硬件防火墙领域内的新贵。NetScreen的产品完全基于硬件ASIC芯片，它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、VPN、流量控制三种功能于一体的网络产品。 * 主要特色： 　　NetScreen把多种安全功能集成在一个ASIC芯片上，将防火墙、虚拟专用网(VPN)、网络流量控制和宽带接入这些功能全部集成在专有的一体硬件中，该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈，能实现最高级别的Ipsec。 　　NetScreen防火墙的配置可在网络上任何一台带有浏览器的机器上完成，NetScreen的优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全保护。 * Checkpoint Firewall 出色的老牌子 　　目前的最新产品是是Check Point FireWall-1 Version4.1防火墙。Checkpoint Firewall-1是一个老牌的软件防火墙产品，它是软件防火墙领域中名声很好的一款产品，在世界范围内的软件防火墙中销售量排名第一。目前国内主要依靠代理商如清华得实、东方趋势等公司来进行中国市场的拓展。 　　主要特色： 　　新版本的FireWall-1主要增强的功能是在安全区域支持Entrust技术的数位证明（Digital Certificate）解决方案；以公用秘钥为基础，使用X.509的认证机制IKE。FireWall-1支持LDAP目录管理，可帮助使用者定义包罗广泛的安全政策。 * NAI Gauntlet 将防毒集于一身 　　这是一种基于软件的防火墙，支持NT和UNIX系统，目前的最新版本是Gauntlet Firewall 2.1 for NT/UNIX。 　　主要特色： 　　作为最高类型——基于应用层网关的Gauntlet防火墙，集成了NT的性能管理和易用性；应用层安全按照安全策略检查双向的通讯。具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性。可应用于Internet、企业内部网和远程访问。Gauntlet防火墙具有友好的管理界面，可以运行在Web浏览器中，支持远程管理和配置，可从网络管理平台上监控和配置，如NT Server和HP OpenView。 * CyberwallPlus 全方位的服务 　　CyberwallPlus系列防火墙是由网屹（Network-1）公司开发并进行销售的。CyberwallPlus系列防火墙是基于软件的防火墙，目前的最新版本是CyberwallPlus 6.0。 　　产品系列： 　　CyberwallPlus系列防火墙包括CyberwallPlus主机防火墙、CyberwallPlus-AP保护内部网络防火墙、CyberwallPlus-IP包过滤防火墙三种产品，其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墙和CyberwallPlus-SV服务器防火墙两个类别。目前CyberwallPlus系列防火墙运行的平台是NT系统。 * 天融信网络卫士 中国的名牌 　　天融信公司的网络卫士是我国第一套自主版权的防火墙系统，是一种基于硬件的防火墙，目前有FW-20