计算机安全与电子商务第8章.pptVIP

计算机安全与电子商务 讲 授 余 智 豪 佛山科学技术学院机电学院 2008.9 《电子商务安全与保密》 使用教材： 祁 明 主 编 高等教育出版社 2006年12月第2版 第8章 防火墙的构造与选择 本章主要内容 防火墙概述 防火墙的分类 防火墙的体系结构 防火墙的选择与实施 防火墙产品介绍 8.1 防火墙概述 8.1.1 什么是防火墙 8.1 防火墙概述 8.1.1 什么是防火墙 防火墙是在内部网与外部网之间实施安全防范的系统。 防火墙的作用是： 限制人们进入一个被严格控制的点 防止进攻者更接近其他的防御设备 限制人们离开一个被严格控制的点 8.1 防火墙概述 8.1.2 防火墙的功能 1.防火墙是网络安全的屏障 2.防火墙可以强化网络安全策略 3.对网络存取和访问进行监控审计 4.防止内部信息的外泄 5.防火墙的抗攻击能力 8.1 防火墙概述 8.1.3 防火墙有关术语 1)防火墙 6)路由 2)主机 7)包过滤 3)堡垒主机 8)参数网络 4)双宿主主机 9)代理服务器 5)包 8.2 防火墙的分类 8.2.1 包过滤防火墙 包过滤技术根据站点的安全规则,通过对数据包的检测决定是否将数据包发往目的地址,从而达到对进入和流出网络的数据进行监测和限制的目的。 8.2 防火墙的分类 8.2.1 包过滤防火墙 8.2 防火墙的分类 8.2.2 状态包检测防火墙 状态包过滤通过在内存中动态地建立和维护一个状态表，当数据包到达时，对该数据包的处理方式将综合静态安全规则和数据包所处的连接状态进行。对新建连接，检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，这些相关信息构成一个状态表。当新数据包到达时，如属已经建立的连接，则检查状态表，参考数据流上下文决定当前数据通过与否。新连接则检查静态规则表。 8.2 防火墙的分类 8.2.2 状态包检测防火墙 8.2 防火墙的分类 8.2.3 代理服务 8.2 防火墙的分类 8.2.4 深度包检测 深度包检测深入检测数据包有效载荷，执行基于应用层的内容过滤，以此提高系统应用防御能力。应用防御的技术问题主要包括： 1)需要对有效载荷知道得更清楚 2)需要高速检查它的能力 8.2 防火墙的分类 8.2.5 分布式防火墙 采用由中心策略服务器集中定义方式，而安全策略的执行则由相关主机节点独立实施；安全日志由主机节点分散产生，而安全日志的保存则集中到中心策略服务器上。 8.2 防火墙的分类 8.2.5 分布式防火墙 三个基本功能： 安全策略的描述及定义机制 安全策略的分发机制 安全策略的执行机制 8.3 防火墙的体系结构 8.3.1 双宿主主机结构 双宿主主机结构是围绕至少具有两个网络接口的双宿主主机而构成的。 8.3 防火墙的体系结构 8.3.1 双宿主主机结构 8.3 防火墙的体系结构 8.3.2 主机过滤结构 8.3 防火墙的体系结构 8.3.3 子网过滤结构 8.4 防火墙的选择与实施 8.4.1 防火墙的局限性 1)不能防范不经过或绕过防火墙的攻击 2)不能防止受病毒感染的软件或文件的传输 3)不能防止数据驱动式攻击 4)不能防止来自内部的攻击 5)无双向的身份证给伪造服务器提供了可能 6)访问控制的粒度较大,无法针对具体文件等进行控制. 8.4 防火墙的选择与实施 8.4.2 怎样选择合适的防火墙 1. 确立网络安全保护策略 2. 对防火墙进行评价、分析 8.4 防火墙的选择与实施 8.4.3 防火墙的测试 8.4.4 防火墙的安装 8.4.5 防火墙的管理和维护 8.5 防火墙的产品介绍 8.5.1 企业防火墙 1.思科的PIX 2.阿姆瑞特的F系列防火墙 3.华为3Com公司的SecPath1000F防火墙 4.东软NetEye NP防火墙 5.天融信公司的NGFW4000 8.5 防火墙的产品介绍 8.5.2 个人防火墙 1.Look’n’Stop 2.ZoneAlarm 3.天网防火墙 4.瑞星防火墙 第8章 作 业 P237 复习题 1. 2. 3. * * 本课