01.TCSP 防火墙技术原理.pptVIP

防火墙的体系结构(1) 过滤路由器（Filtering Router）: 过滤路由器作为内外网连接的唯一通道，通过ACL策略要求所有的报文都必须在此通过检查，实现报文过滤功能。 它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户（没有日志记录）。 基本功能 地址转换 访问控制 VLAN支持 带宽管理（QoS） 入侵检测和攻击防御 用户认证 IP/MAC绑定 动态IP环境支持 数据库长连接应用支持 路由支持 ADSL拨号功能 SNMP网管支持 日志审计 高可用性 防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等 高可用性-双系统冗余 扩展功能--病毒过滤功能(1) 扩展功能--病毒过滤功能(2) 扩展功能-- IPSEC VPN功能 支持DDNS功能 防火墙的局限性 防火墙虽然是保护网络安全的基础性设施，但是它还存在着一些不易防范的安全威胁： 首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一