基于路由器的防火墙.PPT

第6章 防火墙技术——概述、类型、体系结构 教学目的： 1、理解防火墙的概念、功能 2、掌握防火墙的类型认识它们的优缺点 3、熟悉防火墙的体系结构 教学重点： 1、掌握防火墙的类型认识它们的优缺点 2、熟悉防火墙的体系结构 教学过程 提问： 大家如何理解防火墙，防火墙主要完成什么功能？ 企业安全需求分析 某证券公司营业部原系统网络拓扑图后图所示。整个营业部局域网通过路由器连接DDN专线接入Internet。Web服务器直接与路由器局域网口连在一个交换机上，使用合法IP地址。一台业务前置机也连在这个交换机上，使用合法IP地址。业务前置机与内部网中的一台业务通信机通过串行线连接。内部网所有用户要访问Internet，必须通过代理服务器。代理服务器软件为WinGate和Sygate。代理服务器上装两片网卡，一片连接在外部的交换机上，另一片连在内部网的交换机上。同时代理服务器也兼作业务前置机。 证券公司网络拓扑图 针对以上工作情形分组计论 如何防止外部非法的用户进入内网? 如何防止内部用户非法访问一些不恰当的网站? 如何记录内部与外部用户的非法访问？ 企业工作过程流程分析 企业根据以上安全需求选择防火墙技术来实现内外网之间访问控制。 根据自身的实际安全状态选择防火墙的技术类型。 企业根据经济实力和相关安全技术要求决定防火墙的选型和配置方案。 根据防火墙的技术说明配置防火墙的安全策略。 古时候，建造和使用木质结构的房屋，为了在火灾发生时，防止火势蔓延，人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障，这种防护构筑物被称之为防火墙。在今天的网络世界里，人们借用了防火墙这个概念，把隔离在内部网络和外界网络之间的一道防御系统称为防火墙。它在内部网和外部网之间构造一个保护层，并迫使所有的连接和访问都通过这一保护层，以便接受检查。只有被授权信息流才能通过保护层，进入内部网，从而保护内部网免受非法入侵。 6.1.1 防火墙的概念 防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界； 构成防火墙系统的两个基本部件是包过滤路由器和应用级网关； 最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成； 由于组合方式有多种，因此防火墙系统的结构也有多种形式。 相关概念 1、外部网络（非受信网络）：防火墙外部网络，一般为Internet； 2、内部网络（受信网络）：防火墙内的网络 3、非军事化区（DMZ）：为了配置管理方便，内网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，Internet和DMZ。 4、吞度量：是指路由器的包转发能力，分为端口吞吐量和整机吞吐量，端口吞吐量是指路由器的具体一个端口的包转发能力，整机吞吐量是指路由器整机的包转发能力。 5、最大连接数：和吞吐量一样，数字越大越好。但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。 6、堡垒主机：是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机也必须是自身保护最完善的主机。一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由，反之亦然 7、包过滤：它通过检查单个数据包的地址、协议、端口等信息来决定是否允许此数据包通过的技术。 8、代理服务器（Proxy Server） ：代理网络用户去取得网络信息。形象的说,它是网络信息的中转站。 9、状态检测技术：状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。 先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态。 10、虚拟专用网：(Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专网所