第十二章 防火墙.pptVIP

防火墙-12 第十二章 防火墙 内容 基本概念 防火墙定义 为什么需要防火墙 对防火墙的两大需求 防火墙技术的发展过程 引入防火墙技术的好处 争议及不足 12.1 防火墙概述 12.1.1. 什么是防火墙 防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合，是一种广泛应用的网络安全技术(防火墙现在已成为将内部网接入外部网Internet时所必需的安全措施)，是不同网络或网络安全域之间信息的唯一出入口。防火墙是由软件和硬件组成的。它具有以下属性： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫，即自身不受各种攻击的影响 注意：防火墙可能在一台计算机上运行，也可能在计算机群上运行。 防火墙用于保护可信网络免受非可信网络的威胁，同时仍有限制地允许双方通信。 防火墙简图 为什么需要防火墙 为什么需要防火墙 保护内部不受来自Internet的攻击 为了创建安全域 为了增强机构安全策略 Why Security is Harder than it Looks 12.1.2 防火墙的功能 防火墙的主要作用如下： 防火墙对内部网实现了集中管理，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上，可以强化网络安全策略，比分散到主机上管理更经济易行。 防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全并及时报警。 防火墙可以实现网络地址转换（Network Address Translation NAT），缓解资源短缺，隐藏内部网络 所有的访问都经过防火墙，因此它是审计和记录网络的访问和使用的理想位置。 防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。 对防火墙的两大需求 保障内部网安全 保证内部网同外部网的连通 12.1.3 防火墙的基本规则 一切未被允许的就是禁止的（No规则） 防火墙封锁所有的信息流，只允许符合开放规则的信息进出。 特点：提供安全的网络环境；应用不方便 一切未被禁止的就是允许的（Yes规则） 防火墙只禁止符合屏蔽规则的信息进出，而转发所有其他信息流。 特点:灵活；很难提供可靠的安全防护。 增加内容： 个人防火墙 现在网上流行很多个人防火墙软件，它是应用程序级的。 个人防火墙是一种能够保护个人计算机系统安全的软件，它是可以直接在用户计算机操作系统上运行的软件服务，使用与状态检测防火墙相同的方式，来保护计算机免受攻击。通常，这些防火墙是安装在计算机网络接口的较低级别上，使它们可以监视通过网卡的所有网络通信。 (1) 个人防火墙的优点 增加了保护功能。它具有安全保护功能，可以抵挡外来攻击和内部的攻击。 易于配置。它通常可以使用直接的配置选项获得基本可使用的配置。 廉价。它不需要额外的硬件资源就为内部网的个人用户和公共网络中的单个系统提供安全保护。 (2) 个人防火墙的缺点 接口通信受限。个人防火墙对公共网络只有一个物理接口，而真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。 集中管理比较困难。个人防火墙需要在每个客户端进行配置，这将增加管理开销。 性能限制。个人防火墙是为了保护单个计算机系统而设计的，在充当小型网络路由器时将导致性能下降。这种保护机制通常不如专用防火墙方案有效。 内部防火墙 防火墙主要是保护内部网络资源免受外部用户的非法访问和侵袭。有时为了某些原因，我们还需要对内部网的部分站点再加以保护，以免受内部网其它站点的侵袭。因此，需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立一层防火墙，这就是内部防火墙。 企业内部网络是一个多层次、多节点、多业务的网络，各节点间的信任程度较低，但各节点和服务器群之间又要频繁地交换数据。通过在服务器群的入口处设置内部防火墙，可有效地控制内部网络的访问。企业内部网中设置内部防火墙后，一方面可以有效地防范来自外部网络的攻击行为，另一方面可以为内部网络制定完善的安全访问策略，从而使得整个企业网络具有较高的安全级别。 内部防火墙的用户包括内部网本单位的雇员（如内部网单位本部的用户、本单位外部的用户、本单位的远程用户或在家中办公的用户）和单位的业务合作伙伴。后者的信任级别比前者要低。 许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。 内部防火墙具体可以实现以下功能： 精确地制定每个用户的访问权限，保证内部网络用户只能访问必要的资源； 记录网段间的访问信息，及时发现误操作和来自内部网络其他网段的攻击行为； 通过安全策略的集中管理，每个网段上的主机不必再单独设立安全策略，降低人为因素导致的网络安全问题。 内容 12