计算机网络安全管理作业——防火墙技术.pptVIP

只使用一台屏蔽路由器的解决方案可能会有一些缺点。主要的一个缺点是建立恰当的过滤器需要高水平的TCP/IP知识。另一个缺点是只有一台单一的设备在保护网络。屏蔽路由器还没有高质量的监控或日志记录功能。 屏蔽路由器示意图 屏蔽主机网关 屏蔽主机网关（Screened Host Gateway） 屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接（如图）。 计算机网络安全作业——防火墙技术 防火墙技术 简要回答防火墙的定义和发展简史。 设置防火墙目的是什么？防火墙的功能和局限性各有哪些？ 简述防火墙的发展动态和趋势。 试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别？ 试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别？ 防火墙的主要技术及实现方式有哪些？ 防火墙的常见体系结构有哪几种？ 屏蔽路由器防火墙和屏蔽主机网关防火墙各如何实现？ 一、防火墙的定义和发展简史 防火墙的定义 防火墙：一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。　　 发展简史 第一代防火墙 第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。下图表示了防火墙技术的简单发展历史。 第二、三代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。 第四代防火墙 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 　　 第五代防火墙 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 一体化安全网关UTM UTM统一威胁管理，在防火墙基础上发展起来的，具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在中低端领域，UTM已经出现了代替防火墙的趋势，因为在不开启附加功能的情况下，UTM本身就是一个防火墙，而附加功能又为用户的应用提供了更多选择。在高端应用领域，比如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。 二、设置防火墙的目的、防火墙的功能和局限性 设置防火墙的目的 （1）强化安全策略。 （2）有效地记录Internet上的活动。 （3）限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 （4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 防火墙的功能 应用程序代理 包过滤状态检测 用户认证 NAT VPN 日志 IDS与报警 内容过滤 基本功能（1） 基本功能（2） 防 火 墙 的 功能 过滤进出网络的数据 管理进出网络的访问行为 封堵某些禁止的业务 记录进出网络的信息和活动 对网络攻击进行检测和告警 Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。 Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Inte