第5章防火墙构造与选择.pptVIP

第5章 防火墙的构造与选择;5.1 防火墙概述 5.2 防火墙的原理 5.3 防火墙的选择和使用 5.4 分布式防火墙技术;5.1防火墙概述;;5.1 防火墙概述;5.2 防火墙的原理;;5.2.2 防火墙的组成 ; 1 安全操作系统 防火墙本身必须建立在安全操作系统所提供的安全环境中, 安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。这些防火墙的代码只允许在给定的主机系统上执行，这种限制可以减少非法穿越防火墙的可能性。 2 过滤器 防火墙的主要目的是控制数据包,只允许合法流通过，它要对专用网和Internet之间传送的每一数据组进行干预。过滤器则执行由防火墙管理机构制定的一组规则，检验各数据组，决定是否允许放行。这些规则按IP地址、端口号码和各类应用等参数确定。 ;5.2 防火墙的原理;5.2 防火墙的原理;5.2 防火墙的原理; 5.2 防火墙的原理; 5.2 防火墙的原理;5.2 防火墙的原理;5.2 防火墙的原理;5.3 防火墙的选择和使用;; 5.3.2 防火墙产品的分类 按组成结构而言，将防火墙产品分为以下三种： 软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。 硬件防火墙 硬件防火墙是指所谓的硬件防火墙。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构。 芯片级防火墙 基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。 ;5.3.3 防火墙产品的介绍 1 Checkpoint Firewall-1 防火墙 2 SonicWALL系列防火墙 3 NetScreen防火墙 4 Alkatel Internet Devices 系列防火墙 5 北京天融信公司网络卫士防火墙 6 NAI Gauntlet防火墙 7 Cisco PIX防火墙 ;; SonicWALL系列防火墙 SonicWALL系列防火墙是在NASDAQ上市的美国SONICWALL公司的著名网络安全产品 ，是目前全球销量最大的硬件防火墙和市场占有率最高的硬件VPN产品。 SonicWALL采用软硬件一体化设计，在高性能硬件平台上，利用先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统。 采用世界领先的加密算法、身份认证技术以及网络防病毒技术，是一个强大的，集应用级防火墙、入侵报警、内容过滤、VPN、网络防病毒等多种安全策略为一体的，稳定可靠的高性能网络安全系统。 具有优秀的性价比 。;NetScreen 防火墙 是NetScreen科技公司推出的一种新型的网络安全硬件产品，具有Trusted（可信端口）、Untrusted（非信任端口）、Optional（可选端口）三个J-45网络接口，配有PCMCIA插槽，支持10MB、20MB、40MB和150MB快闪存储器。 优势之一是采用了新的体系结构，可以有效地消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全保护。 在执行效率和带宽处理的能力上性能优越。 Alkatel Internet Devices 系列防火墙 采用独有的ASIC 设计和基于Intel的FreeBSD Unix 平台，使用简单易行，配置简单。 率先提供了100MB的吞吐能力和无用户数限制，并支持64000个并发会话，有效地消除了软件防火墙的性能瓶颈，达到了安全和性能的统一。 ;;Cisco PIX防火墙 是最具代表性的硬件防火墙，属状态检测型。由于它采用了自有的实时嵌入式操作系统，因此减少了黑客利用操作系统BUG攻击的可能性。 就性能而言，Cisco PIX是同类硬件防火墙产品中最???的，对100BaseT可达线速。 但是，其优势在软件防火墙面前便不呈现不明显了。其缺陷主要有三：其一价格昂贵，其二升级困难，其三是管理烦琐复杂。 ;5.4 分布式防火墙技术 5.4.1 分布式防火墙的产生 5.4.2 传统边界式防火墙的固有欠缺 5.4.3 分布式防火墙的主要特点 5.4.4 分布式防火墙的主要优势 5.4.5 分布式防火墙的基本原理 5.4.6 分布式防火墙的主要功能 ;; 5.4.2传统边界式防火墙的固有欠缺 网络应用受到结构性限制 内部安全隐患仍在 效率较低和故障率高;;5.4.4 分布式防火墙的主要优势 更强的系统安全性 提高了系统性能 系统的扩展性好 实施了主机策略 应用更为广泛，支持VPN通信 ; 5.4.5 分布式防火墙的基本原理 首先由