国家网络技术水平考试----防火墙.pptVIP

第十章 第十章 防火墙 第1节 防火墙的定义 第2节 防火墙技术 第3节 防火墙的功能、性能 第4节 防火墙的应用 第5节 防火墙不足之处 第6节 部署防火墙的误区 第7节 主流防火墙介绍 国家信息化工程师认证考试管理中心 防火墙 第1节 防火墙的定义 传统的防火墙概念概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分 I T 领域使用的防火墙概念 两个安全域之间通信流的唯一通道 安全域1 Host A Host B 安全域2 Host C Host D UDP Block Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙的发展历程 将过滤功能从路由器中独立出来， 针对用户需求，提供模块化的软件包 用户可根据需要构造防火墙 安全性提高了，价格降低了 利用路由器本身对分组的解析,进行分组过滤 过滤判断依据：地址、端口号 防火墙与路由器合为一体，只有过滤功能 适用于对安全性要求不高的网络环境 是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统，监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高。 防火墙厂商具有操作系统的源代码，并可实现安全内核 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能：加密、鉴别、审计、NAT转换 透明性好，易于使用 基于通用操作系统的防火墙 防火墙工具套 基于安全操作系统的防火墙 第 2节 防火墙技术 防火墙的位置 包过滤技术 应用代理技术 状态检测技术 防火墙在网络中的位置 防火墙放置于不同网络安全域之间 包过滤技术 包过滤原理 安全网域 Host C Host D UDP Block Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 数据包 数据包 数据包 数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 控制策略 数据包 过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理 数据 TCP报头 IP报头 分组过滤判断信息 应用代理技术 应用代理原理 安全网域 Host C Host D 数据包 数据包 数据包 数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 数据包 应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过 控制策略 数据 TCP报头 IP报头 分组过滤判断信息 应用代理判断信息 状态检测技术 状态检测原理 安全网域 Host C Host D 数据包 数据包 数据包 数据包 数据包 查找对应的控制策略 拆开数据包 根据策略决定如何处理该数据包 数据包 状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过 控制策略 数据3 TCP报头 IP报头 数据2 TCP报头 IP报头 数据1 TCP报头 IP报头 状态检测 第 3节 防火墙的功能、性能 防火墙的功能 防火墙的性能 状态 检测表 提高了效率 防止假冒IP攻击 Host C Host D No 访问控制规则表 Yes 数据包状态检测 防火墙访问控制的范围 源和目的地址； 源和目的端口； “欺诈”的IP地址； IP协议号； 端口范围； ICMP信息类型； IP和TCP中都有的选项类型； IP和TCP标记组合； VLAN信息。 防火墙的防御攻击的能力 抵抗DOS/DDOS攻击 防止入侵者的扫描 防止源路由攻击 防止IP碎片攻击 防止ICMP/IGMP攻击 防止IP假冒攻击 应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等 物理层 链路层 网络层 传输层 会话层 表示层 应用层 物理层 链路层 网络层 传输层 会话层 表示层 应用层 内部网络 外部网络 防火墙 内部接口 外部接口 根据策略检查应用层的数据 符合策略 应用层 应用层 应用层 应用代理 Internet Host A Host B Host C Host D 00-50-04-BB-71-A6 00-50-04-BB-71-BC BIND To 00-50-04-BB-71-A6 BIND