计算机网络安全技术 知识（第4版）第5章防火墙技术 知识.pptx

《计算机网络安全技术》（第4版） 工业和信息化“十三五”高职高专人才培养规划教材 第5章 防火墙技术 人民邮电出版社 能力 CAPACITY 要求 了解防火墙的定义、功能、局限性和发展历程。 理解单机版防火墙和网络版防火墙、以及软件防火墙和硬件防火墙的区别。 掌握现有防火墙的三种核心技术（三种不同技术类型的防火墙）的基本原理和优缺点。 能够熟练使用各种常用的防火墙（安装、参数设置、规则配置等）。 了解防火墙的各种性能指标。 防火墙的分类 防火墙概述 防火墙的实现技术原理 防火墙的应用实验 防火墙的性能、功能指标 一、防火墙概述 防火墙的定义 防火墙的功能和局限性 防火墙的发展简史 一、防火墙概述 防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 它是不同网络或网络安全域之间信息的唯一出入口 。 防火墙的分类 防火墙概述 防火墙的实现技术原理 防火墙的应用实验 防火墙的性能、功能指标 二、防火墙的分类 按性能分类：百兆、千兆和万兆级防火墙。 按形式上划分：软件防火墙和硬件防火墙； 按保护对象分类：单机防火墙和网络防火墙； 按技术上划分：包过滤防火墙、应用代理型防火墙、状态检测防火墙、复合型防火墙和下一代防火墙。 按CPU架构的分类：通用CPU、NP（Network Processor，网络处理器）、ASIC（Application Specific Integrated Circuit，专用集成电路）、多核处理器的防火墙。 防火墙的分类 二、防火墙的分类 防火墙的分类 软件防火墙 硬件防火墙 按形态分类 按保护对象分类 保护整个网络 保护单台主机 网络防火墙 单机防火墙 二、防火墙的分类 操作系统平台 安全性 性能 稳定性 网络适应性 分发 升级 成本 硬件防火墙 基于精简专用OS 高 高 较高 强 不易 较容易 Price=firewall+Server 软件防火墙 基于庞大通用OS 较高 较高 高 较强 非常容易 容易 Price=Firewall 硬件防火墙软件防火墙 二、防火墙的分类 防火墙的体系结构 1.双宿主主机体系结构 二、防火墙的分类 防火墙的体系结构 2．被屏蔽主机体系结构 二、防火墙的分类 防火墙的体系结构 3．被屏蔽子网体系结构 DMZ（Demilitarized Zone）区域概念 二、防火墙的分类 DMZ区常规访问控制策略 1、内部网络可以访问DMZ，方便用户使用和管理DMZ中的服务器。 2、外部网络可以访问DMZ中的服务器，同时需要由防火墙完成对外地址到服务器实际地址的转换。 3、DMZ不能访问内部网络。 4、DMZ不能访问外部网络。此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外部网络，否则将不能正常工作。 二、防火墙的分类 通用CPU 在百兆防火墙时代，防火墙厂商普遍采用的是通用CPU，比如：Intel x86，AMD的CPU 特点：1. 开发难度小、周期短；灵活、升级方便。 2. 数据处理能力低。 二、防火墙的分类 网络处理器（NP） NP是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎。 特点：1. 灵活、升级方便。数据处理能力较高。 2. 开发难度较大；开发周期长。 二、防火墙的分类 专用集成电路（ASIC） ASIC防火墙通过专门设计的ASIC芯片进行硬件加速处理。 特点： 1、处理能力强，防火墙的性能高。 2、 开发费用高、周期长，一般耗时接近2年。 3、灵活性和扩展性差，几乎不可能升级； 二、防火墙的分类 多核架构防火墙 多核处理器，是在同一个硅晶片上集成了多个独立物理核心。多个核心协同处理工作，所以性能倍增。 特点：1、 数据处理能力高。 2、灵活、升级方便。 目前的千兆、万兆防火墙基本都是多核架构防火墙。 防火墙的分类 防火墙概述 防火墙的实现技术原理 防火墙的应用实验 防火墙的性能、功能指标 三、防火墙的实现技术原理 防火墙实现技术原理 三、防火墙的实现技术原理 1．简单包过滤防火墙（Packet filtering） 数据包过滤技术的发展：静态包过滤、动态包过滤。 包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项： ① 源、目的IP地址； ② 源、目的端口号； ③ 协议类型； ④ TCP报头的标志位。 简单包过滤防火墙的工作原理1 三、防火墙的实现技术原理 包过滤防火墙的工作流程 三、防火墙的实现技术原理 应用实例 【问题】