企业局域网组建7-3.ppt

7.3 网络安全解决方案 防火墙概念 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口。本身具有较强的抗攻击能力。 提供信息安全服务，实现网络和信息安全的基础设施。 防火墙逻辑位置 防火墙类型 包过滤防火墙 检查所有通过的信息包中的IP信息，并按照系统管理员所给定的过滤规则进行过滤。 优点是它对于用户来说是透明的，处理速度快而且易于维护。 不能鉴别不同的用户和无法对数据包中的内容进行过滤。 防火墙类型 应用级网关 也称代理型防火墙，应用级网关比单一的包过滤更为可靠。 详细地记录所有的访问状态信息 访问速度较慢。 防火墙类型 状态检测防火墙 用户访问请求到达网关的操作系统前，状态检测器要抽取有关的数据进行分析 非常坚固的，但配置比较复杂 状态检测防火墙 防火墙的作用 防火墙是网络安全的屏障 防火墙可以强化网络安全策略 对网络存取和访问进行监控审计 防止内部信息的外泄 防火墙典型应用 内外网隔离 防火墙典型应用 中小型企业“DMZ 区” 防火墙典型应用 大中型企业“安全分段” 防火墙典型应用 企业“VLAN 支持” 防火墙典型应用 “多出口”典型应用 防火墙典型应用 “VPN”典型应用 防火墙典型应用 骨干级网络“高可靠性”典型应用 防火墙典型应用 在内部和外部网(如INTERNET)唯一的出入口，防止外部对内部的非法访问； 应用在内网、外网和安全服务网络之间，三部分网络间通过防火墙进行通信； 对内部网不同安全区域实施访问控制； 使用严格的控制策略； 设置隔离区(DMZ)，保护公开服务器，如WWW、DNS、E-MAIL和FTP等INTERNET服务器； 对内部网络的主机IP和MAC地址捆绑； 对特定的用户进行流量控制； 对内部网络不同安全域实施访问控制； 防火墙典型应用 防火墙应用案例 企事业单位典型案例 设置隔离区(DMZ),把WEB服务器、邮件服务器、DNS服务器等放到该区,以便Internet网上用户访问。 严禁Internet网上用户到公司内部网的访问。 允许公司内部网通过地址转换方式(NAT)访问Internet。 允许远程用户通过VPN访问公司内部网。 企事业单位典型案例 防火墙应用案例 企业上网方案 某企业现有PC机接近1000台，通过CISCO的三层交换机及路由器相连，内部配备有Web server， E-mail server，DNS server，WINS server，DHCP server等，公司通过专线上网与internet相连，并通过专线与香港总部及北京、上海、广州、深圳等各分公司相连。公司内部PC机上网通过PROXY server或拨号访问，公司内部按部门划分DOMAIN（域名），在CISCO 的5500三层交换机上划分VLAN控制各部门之间的相互访问，通过NT server、windows 98、windows 2000提供的用户认证功能实现安全防范。公司的Webserver，E-mail server接在路由器后，易受到黑客攻击。 未使用防火墙的拓扑 添加防火墙后的拓扑 本课小结 防火墙技术分类 防火墙组网中的应用 * * * * * * * * *