计算机互联网网络管理(11).pptVIP

第11章 防火墙技术 11. 1 防火墙基础 11.2 企业防火墙的构建 11.3 企业防火墙的软件实现 11. 1 防火墙基础 1.防火墙的概念 从本质上说，防火墙遵从的是一种允许或阻止业务往来的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。图11-1简单地表示了防火墙在网络中的位置。 2.防火墙的作用 （1）限制人们从一个特别的控制点进入 （2）防止侵入者接近其他防御设施 （3）限定人们从一个特别的点离开 （4）有效的阻止破坏者对计算机系统进行破坏 3.防火墙的优缺点 （1）优点 ①防火墙能强化安全策略 ②防火墙能有效地记录Internet上的活动 ③防火墙限制暴露用户点 防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 ④防火墙是一个安全策略的检查站 所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 （2）防火墙的不足之处 上面叙述了防火墙的优点，但它还是有缺点的。其缺点如下： ①不能防范恶意的知情者 ②防火墙不能防范不通过它的连接 ③防火墙不能防备全部的威胁 ④防火墙不能防范病毒 5.防火墙类型 防火墙的类型一般有以下几种： （1）数据包过滤型 ①包过滤技术可以允许或不允许某些包在网络上传递 ②包过滤系统只能可以进行类似以下情况的操作 ③包过滤优点 如果站点与因特网间只有一台路由器 ，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，站点就可获得很好的网络安全保护。 ④包过滤的缺点 （2）代理服务型 代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。 （3）子网过滤型防火墙 最简单的形式为两个过滤路由器，每一个都连接到参数网，一个位于参数网（又称为DMZ）与内部的网络之间，另一个位于参数网与外部网络之间。 ①非军事区（De-Militarized Zone，DMZ）：也称为周界网络，是在内外部网之间另加的一层安全保护网络层 ②堡垒主机 ③内部路由器 ④外部路由器 （4）防火墙的各种变化和组合 （5）防火墙实现策略(cont.) 对防火墙系统而言，共有两层网络安全策略： ①网络服务访问策略 ②防火墙设计策略 （6）对防火墙技术的展望 （7）选择防火墙的原则 防火墙产品往往有上千种，如何在其中选择最符合需要的产品；是消费者最关心的事。在选购防火墙软件时，应该考虑以下几点。 11.2 企业防火墙的构建 1.企业网络的现状 2.企业网络的安全要求 3.企业网络安全的威胁 （1）非人为、自然力造成的数据丢失、设备失效、线路阻断 （2）人为但属于操作人员无意的失误造成的数据丢失 （3）来自外部和内部人员的恶意攻击和入侵 4. 提高企业内部网安全性的几个步骤： （1）限制对网关的访问和网关上的账号数，不允许在网络上进行根注册 （2）不信任任何人，网关不信任任何机器 （3）不要用NFS向网关传输或接收来自网关的任何文件系统 （4）不要在网关上使用NIS（网络信息服务） （5）制订和执行一个非网关机器上的安全性方针 （6）关闭所有多余服务和删除多余程序 （7）删除网关的所有多余程序（远程登录、rlogin、FTP等等） （8）定期阅读系统记录 5. 企业Intranet安全解决方案 一是社会的法律政策、企业的规章制度以及安全教育等外部软环境。在该方面政府有关部门、企业的主要领导应当扮演重要的角色。二是技术方面的措施，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。三是审计和管理措施，该方面措施同时包含了技术与社会措施。其主要措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等，以防患于未然。 6. 网络信息安全产品 为了实施上面提出的安全体系，可采用防火墙产品来满足其要求。 采用NetScreen 公司的硬件防火墙解决方案NetScreen-10 NetScreen-100可以满足以下功能。 (1)访问控制 (2)普通授权与认证 提供多种认证和授权方法，控制不同的信息源。 (3)内容安全 对流入企业内部的网络信息流实施内部检查，包括URL过滤等等。 (4)加密 提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。 (5)网络设备安全管理 (6)集中管理 实施一个企业一种安全策略，实现集中管理、集中监控等。 (7)提供记账、报警功能