03网络安全（第三讲 防火墙）.ppt

防火墙概述 什么是防火墙 什么是防火墙 什么是防火墙 防火墙可在链路层、网络层和应用层上实现； 防火墙的三个要求： 安全——防火墙自身应对渗透免疫，保证自身安全 管理——所有网络数据流必须经过防火墙 速度——尽可能低的网络占用，数据传送速度影响不大 防火墙功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的； 从网络防御体系上看，防火墙是一种被动防御的保护装置 。 什么是防火墙 防火墙的作用——提供下列问题的答案： 谁在使用网络？ 在网络上做什么？ 他们什么时间使用了网络？ 他们上网络上去了那些地方？ 谁上网没有成功？ 防火墙的构成要素： 安全策略——数据通过与否、如何处理紧急事件、审计取证 内、外网络 技术手段 防火墙的功能 对防火墙的要求 保证内网安全 保证内外网连通 防火墙功能 访问控制策略 安全审计 安全管理 数据加密 防火墙的功能 ① 网络安全的屏障； ② 过滤不安全的服务；（两层含义） 内部提供的不安全服务和内部访问外部的不安全服务 ③ 阻断特定的网络攻击；（联动技术的产生） ④ 部署NAT机制； ⑤ 提供了监视局域网安全和预警的方便端点。 提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。 防火墙的分类与常见概念 按实现技术分类 包过滤防火墙：分析IP包内容，依据过滤规则做数据转发 代理防火墙：在应用层实现防火墙功能。提供部分传输状态、应用状态信息，并能处理和管理信息 状态检测防火墙：能访问、分析、利用和处理通信状态信息，如：来访问的方向、允许通过与否等 混合型防火墙：综合采用各种技术的防火墙 防火墙的分类与常见概念 按体系结构分类 双／多宿主防火墙：安装2或多块网卡隔离不同网络 屏蔽主机防火墙：在外网和堡垒主机间设置一个包过滤路由器（第一道防线），强迫外部网与一个堡垒主机相连 屏蔽子网防火墙：内外网分别通过一个包过滤路由器连接到一个DMZ区域（非军事区，又称为周边网络、公共访问区域），内有堡垒主机和应用型网关，是比较安全的体系 混合结构防火墙：如：单／双（堡垒主机＋DMZ）结构、双堡垒主机＋单DMZ结构 防火墙的分类与常见概念 1.个人防火墙 是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能； 大家常用的个人防火墙有：Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等； 安装在个人PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。 防火墙的分类与常见概念 2.软件防火墙 个人防火墙也是一种纯软件防火墙，但其应用范围较小，且只支持Windows系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差； 作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统，并且多数都支持Unix或Linux系统。如十分著名的Check Point FireWall-1，Microsoft ISA Server 2000等 。 防火墙的分类与常见概念 3.一般硬件防火墙 不等同于采用专用芯片的纯硬件防火墙，但和纯软件防火墙有很大差异 ； 一般由小型的防火墙厂商开发，或者是大型厂商开发的中低端产品，应用于中小型企业，功能比较全，但性能一般； 一般都采用PC架构（就是一台嵌入式主机），但使用的各个配件都量身定制 。 防火墙的分类与常见概念 其操作系统一般都采用经过精简和修改过内核的Linux或Unix，安全性比使用通用操作系统的纯软件防火墙要好很多，并且不会在上面运行不必要的服务，这样的操作系统基本就没有什么漏洞。但是，这种防火墙使用的操作系统内核一般是固定的，是不可升级的，因此新发现的漏洞对防火墙来说可能是致命的 ； 国内自主开发的防火墙大部分都属于这种类型。 防火墙的分类与常见概念 4.纯硬件防火墙 采用专用芯片（非X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙。（专用集成电路（ASIC）芯片或者网络处理器（NP）芯片）； 最大的亮点：高性能，非常高的并发连接数和吞吐量； 采用ASIC芯片的方法在国外比较流行，技术也比较成熟，如美国NetScreen公司的高端防火墙产品；国内芯片级防火墙大多还处于开发发展的阶段，采用的是NP技术。 防火墙的分类与常见概念 5.分布式防火墙 前面提到的几种防火墙都属于边界防火墙（Perimeter Firewall），它无法对内部网络实现有效地保护； 随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构——分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商