管理学-第三章（防火墙在网络安全防护中的应用.pptVIP

第三章 防火墙在网络安全防护中的应用 在上一章我们介绍了包括病毒、木马等在内的恶意软件浓度防护知识，但那远不是企业网络安全防护的全部，因为企业网络安全威胁的大门仍旧大开。防火墙在安全防护方面的作用是无法替代的，尽管现在出现了各种各样的安全防护技术和产品，如本书后面将要介绍的入侵检测产品、网络隔离产品等。很难想象一个没有安装防火墙的网络，哪怕是个人计算机在互联网上能够坚持多久，因为防火墙是企业网络，包括连接外部网络的个人计算机的第一道安全大门。 【说明】因为有关防火墙方面的技术、应用和配置已在本系列图书的《网管员必读——网络基础》一书中有详细的介绍，所以在此就不再赘述了。本章只从最基本的角度入手与大家一起简单回顾一下防火墙的主要作用，并且真正从企业防护角度出发，介绍企业网络中的内、外部网络防火墙应用方案部署方法。 本章重点如下： 防火墙的主要功能 主要的防火墙技术 防火墙的主要分类 内部网络防火墙系统部署方法 外部网络防火墙系统部署方法 防火墙的防御SYN Flood攻击的方 3.1 防火墙技术基础 防火墙是我们见得最多，应用最广、最具代表性的网络安全设备（也可以是软件）。在谈到企业网络安全时，我们第一个首先想到的肯定是防火墙。由此可见防火墙在企业网络安全中的重要性非同一般，甚至在许多人心中认为防火墙就是网络安全的“保护神”，是网络安全的代名字。 3.1.1 防火墙概述为了保护其数据和资源的安全，在内、外部网络之间，甚至是内部网络中不同部门间都部署了防火墙，用它来从逻辑上把需要保护的网络与其他网络隔离起来。典型互联网与企业内部网络之间、内部网络不同部门之间的防火墙应用如图3-1所示。 防火墙的原意并不是指网络安全设备，而是一种用于防止火灾蔓延的物理隔离设施，如用来防止火灾从建筑物的一部分传播到另一部分，从一个房间传到另一个房间等。这一点从图中防火墙的象征性图标完全可以看出。 3.1.2 防火墙的八大主要功能 综合起来，我们可以得出如八大主要防火墙功能： 强化网络安全策略 网络适配器输入筛选器 静态数据包筛选器 防止内部信息的外泄 网络地址转换（NAT） 对网络存取和访问进行监控、审计 监控状态的检查 线路级检查 应用程序层筛选 本节详细内容参见书本P91~P93页。 3.1.3 防火墙的主要优点与不足 防火墙的优点综合起来主要表现在如下几个方面： 能够强化安全策略 可有效地记录网络上的活动 可限制暴露用户点 具有强壮的抗攻击能力 防火墙的不足主要体现在以下几个方面。 防外不防内的策略限制 不能防范不通过它的连接 无法检测加密的Web流量 加密后的应用程序数据也可轻易躲过防火墙的检测 对于Web应用程序，防范能力不足 无法扩展带深度检测功能本节详细内容参见书本P93~P95页。 3.2 防火墙的分类 防火墙通常分为：个人防火墙、路由器防火墙、低端硬件防火墙、高端件防火墙和高端服务器防火墙五类。 3.2.1 个人防火墙 个人防火墙可以为个人计算机提供简单的防火墙功能，如果安装它的计算机是与内部网络上的其他计算机共享连到互联网，则它也可以保护小型网络。但是个人防火墙的性能有限，并会造成安装它的个人计算机的性能下降。保护机制通常不如专用防火墙解决方案有效，因为它们通常只限于阻止IP和端口地址。但个人防火墙价格较低，目前Windows XP和Windows Server 2003系统的CFS，以及各品牌的杀毒软件中也提供此功能模块，如金山网镖、瑞星个人防火墙等。  个人防火墙的优点就是便宜、易于配置，缺点包括：集中管理比较困难、仅具有基本控制和性能有限。 本节详细内容参见书本P95~P96页。 3.2.2 路由器防火墙 路由器通常支持一个或多个防火墙功能，可以再细分成为低端路由器和高端路由器。低端路由器提供了阻止和允许特定的IP地址和端口号的基本防火墙功能，以及使用NAT来隐藏内部IP地址。它们经常提供防火墙功能作为阻止来自Internet入侵的标准、最佳选择，虽然它们不需要配置，但是进行进一步配置可以优化它们。高端路由器可以配置为通过阻挡更显而易见的入侵（如Ping）以及使用ACL（访问控制列表）实现其他IP地址和端口限制,来限制访问。其他防火墙功能可能可用。在高端路由器中，防火墙功能与硬件防火墙设备的功能类似，但是成本更低而且吞吐量也更低。  路由器防火墙的优点包括：低成本、可以整合配置、保护投资；路由器防火墙的缺点包括：功能有限、仅具有基本控制