[IT认证]防火墙.pptVIP

网络防火墙技术及发展 北京天融信·南昌办事处 关于天融信 关于天融信 1995年成立，国内最早的信息安全厂商 北京为总部，全国设有32+个分支机构 用户超过5万,产品部署超过22万，在线产品超过15万 国内最大的专业安全产品、服务和解决方案提供商 关于天融信 关于天融信 中国安全网关市场的第一品牌 连续11年防火墙市场排名第一 中国信息安全市场占有率第一 国内专业信息安全公司，连续9年整体安全市场排名第一 关于天融信 关于天融信 关于天融信 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 目录 一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。 两个安全域之间通信流的唯一通道 防火墙的概念 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 目录 软件防火墙的初级形式，具有审计和告警功能 对数据包的访问控制过滤通过专门的软件实现 与第一代防火墙相比，安全性提高了，价格降低了 在路由器中通过ACL规则来实现对数据包的控制； 过滤判断依据：地址、端口号、协议号等特征 是批量上市的专用软件防火墙产品 安装在通用操作系统之上 安全性依靠软件本身和操作系统本身的整体安全 防火墙厂商具有操作系统的源代码，并可实现安全内核 功能强大，安全性很高 易于使用和管理 是目前广泛应用的防火墙产品 防火墙的发展历程 防火墙执行标准 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18336-2001 信息技术安全性评估准则 GB/T 17900-1999 网络代理服务器的安全技术要求 GB/T 18018-1999 路由器安全技术要求 这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 目录 包过滤（Packet filtering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。 应用代理（Application Proxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。 状态检测（Stateful Inspection）：工作在2~4层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。 完全内容检测（Compelete Content Inspection）：工作在2~7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。 防火墙的检测与过滤技术 Data Segment Packet Frame Bit Flow 应用层 TCP 层 IP 层 网络接口层 IP 开始攻击 TCP ETH 开始攻击 应用层 TCP 层 IP 层 网络接口层 开始攻击 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 包过滤防火墙的工作原理 简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱 应用层 TCP 层 IP 层 网络接口层 IP 开始攻击 TCP ETH 开始攻击 应用层 TCP 层 IP 层 网络接口层 开始攻击 只检查数据 101001001001010010000011100111101111011 001001001010010000011100111101111011 应用代理防火墙的工作原理 不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱 应用层 TCP 层 IP 层 网络接口层 IP 开始攻击 TCP ETH 开始攻击 应用层 TCP 层 IP 层 网络接口层 开始攻击 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 状态检测防火墙的工作原理 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱 建立连接状态表 建立状态连