[理学]第四章防火墙技术.pptVIP

网络安全技术及相关解决方案 防火墙技术 防火墙：是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。 防火墙可以是软件、硬件和软硬件结合的 发展历经简单包过滤、应用代理、状态检测（状态包过滤）防火墙 最新技术是具有数据流过滤功能的防火墙 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 防火墙主要功能 过滤进、出网络的数据 管理进、出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击进行检测和报警 内部工作子网与外网的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 合法请求则允许对外访问 发起访问请求 防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录 DMZ区域与外网的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 禁止对外发起连结请求 发起访问请求 防火墙在此处的功能： 1、DMZ网段与外部子网的物理隔离 2、访问控制 3、对DMZ子网做MAP映射 4、日志记录 内部子网与DMZ区的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 禁止对工作子网发起连结请求 发起访问请求 拨号用户对内部网的访问控制 拨号服务器 Cisco 2620 移动用户 Modem Modem 进行一次性口令认证 认证通过后允许访问 内网 将访问记录写进日志文件 下属机构对总部的访问控制 进行规则检查 将访问记录写进日志文件 防火墙在此处的功能： 1、将内部子网与连接下属机构的公网隔离开 2、控制下属机构子网用户对总部内网的访问 3、对下属机构网络与总部子网之间的通讯做日志和审计 基于时间的访问控制 Host C Host D 在防火墙上制定基于时间的访问控制策略 上班时间不允许访问Internet 上班时间可以访问公司的网络 用户级权限控制 Host C Host D Host B Host A 受保护网络 预先可在防火墙上设定用户 root 123 Yes admin 883 No 不管那台电脑都可以用相同的用户名来登陆防火墙 只需在防火墙设置该用户的规则即可 高层协议控制 应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等 应用层 应用层 防火墙 内部接口 外部接口 根据策略检查应用层的数据 符合策略 IP与MAC绑定 Host B Host C Host D 00-50-04-BB-71-A6 00-50-04-BB-71-BC Bind To 00-50-04-BB-71-A6 Bind To 00-50-04-BB-71-BC IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网 防火墙允许Host A上网 流量控制 Host C Host D Host B Host A 受保护网络 Host A的流量已达到 10M Host A的流量已达到 极限值30M 阻断Host A的连接 端口映射 公开服务器可以使用私有地址 隐藏内部网络的结构 ：80——：80 ：21——：21 ：25——：25 ：53——：53 NAT网关和IP复用 防火墙 Eth2：3 Eth0： 源地址：1 目地址：4 源地址： 目地址：4 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能 透明接入 受保护网络 如果防火墙支持透明模式，则内部网络主机的配置不用调整 同一网段 透明模式下，这里不用配置IP地址 透明模式下，这里不用配置IP地址 Default Gateway= 防火墙相当于网桥，原网络结构没有改变 信息系统审计与日志 写入日志 写入日志 一旦出现安全事故 可以查询此日志 身份鉴别功能 Host C Host D Host B Host A 受保护网络 预先可在防火墙上设定用户 root asdasdf 验证通过则允许访问 root 123 Yes admin 883 No 用户身份认证 根据用户控制访问 防火墙的类型 包过滤路由器 应用层网关 电路层网关 这仅是一种防火墙分类方法，所着眼的视角不同，得到的类