网络防火墙技术研究讲义.pptVIP

网络防火墙技术研究;引 言;报告内容安排;防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。它在内部网络（可信网络）和外部网络（不可信网络）之间形成一道安全保护屏障，它对网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许，从而保护内部网络的信息不受外部非授权用户的访问 ;;二、 防火墙的分类;1.包过滤（Packet filter）型防火墙 是对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。 包过滤防火墙会检查所有通过的信息包中的IP地址和端口号及数据包头中的各种标志位等因素，并按系统给定的过滤规则（也称为访问控制表，ACL）进行过滤。如果防火墙设定某IP地址的站点为不允许访问的话，那么从这个地址来的所有信息都会被该防火墙屏蔽掉。;2.代理（Proxy）型防火墙(应用层网关级防火墙) 它由两部分组成：筛选路由器和代理服务器。它是把过滤路由器技术和软件代理技术结合在一起 由过滤路由器负责网络的互联，进行严格的数据选择 应用代理则提供应用层服务的控制，起到外部网络向内部网络申请服务时中间转接作用，内部网络只接收代理服务器提出的服务请求，拒绝外部网络其它节点的直接请求。;代理服务器其实是外部网络和内部网络交互信息的交换点，当外部网络向内部网络的某个节点申请某种服务时，例如 FTP、 Telnet、 WWW等，先由代理服务器接收，然后代理服务器根据其服务类型、服务内容、被服务的对象及其它因素，决定是否接收此项服务，如果接收，就由代理服务器向内部网络转发这项请求，并把结果反馈给申请者，否则就拒绝服务申请。 根据代理服务器处理协议的功能，可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙等 但是实现比较困难，因为要为每一种服务协议设计一个代理软件模块来进行安全控制。 ;3.状态检测型防火墙 该防火墙使用监测引擎在不影响网络正常运行的前提下，抽取有关数据对网络通信的各层实施监测。抽取状态信息，并动态地保存起来作为以后执行安全策略的???考。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监测器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。;三、 防火墙的功能;四、防火墙的局限性;防火墙的局限性(续);防火墙的局限性(续);五、防火墙的技术发展;思科ASA5520-BUN-K9 (2007年上市) ;防火墙类型百兆级防火墙 网络吞吐量100Mbps 主要功能VPN, 访问控制, 宽带管理, 防火墙端口类型3个10/100BASE-TX,最多可扩展5个端口 网络管理SNMP，WEB 过滤带宽100Mbps 入侵检测IDS,Dos,DDoS;防火墙类型 千兆级防火墙 网络吞吐量 1000Mbps 并发连接数 1000000 VPN支持 支持 主要功能 VPN, 防火墙, 支持多种身份认证, 加密支持, 地址转换, 实时监控, 管理功能 网络管理 SNMP 端口类型 一个10/100/1000BASE-T端口，六个GBIC插槽 ,支持接口类型[SX/LX/ZX/T/AUTO] 入侵检测 Dos,DDoS;防火墙产品和技术中，将包过滤技术和多种应用技术融合到一起构成复合型防火墙是目前国内防火墙产品的一个特点，也是防火墙最近几年来发展的主流技术，作为一种技术，该类产品在今后许多年还会得到更为完善的发展。;X86 普通工控机架构仍然占据了国内大部分的百兆防火墙市场，其主要原因是技术成熟、成本相对较低 千兆防火墙的平台， NP 架构一直被业界认为是防火墙架构的最佳选择，但这类防火墙一般仍采用国外技术，价格较高。因此主要使用于电信、银行、企业等。;以用户为导向，产品向高性能、多端口、高细粒度控制、自动化综合管理是防火墙未来发展的主要方向。 一方面，在用户对高性能需求的驱使下，百兆防火墙的性能将会得到进一步的提高；另一方面，千兆流量的防火墙已成为高端市场防火墙产品竞争的焦点。在多种技术融合的基础上，若在防火墙系统中添加网络硬件加速器，将能有效提高其处理能力； 多端口的防火墙能为用户提供更好的安全解决方案;高细粒度的控制能够增加防火墙访问控制的作能力 以传统电信的管理观点：所有的控制都是基于用户的。固网电话号码可以代表固定网的用户，移动网号码可以代表移动用户。 目前的防火墙的数据控制确是非常粗糙的，基于 IP协议的简单过滤。而IP地址绝对不能代表IP网络的用户。 通过对用户认证功能的融合，使防火墙可以具备标识用户的能力；比如：可以实现针对哪些用户可以用 QQ，哪些不能；一部分用户可以使用BT 下载