第五节防火墙原理及设计.pptxVIP

第五章防火墙原理与设计; 本章重点;为什么需要防火墙;内部网特点;为什么需要防火墙;5．1防火墙概述;;防火墙由几个部分构成。在图5.1中，“过滤器”用来阻断某些类型的数据传输。网关则由一台或几台机器构成，用来提供中继服务，以补偿过滤器带来的影响。;;防火墙主要功能： 1 ．防止易受攻击的服务。 2．控制访问网点。 3．集中安全性管理。 4．对网络存取和访问进行监控审计。 5．检测扫描计算机的企图。 6．防范特洛伊木马。 7．防病毒功能。 8．支持VPN技术。 9．提供网络地址翻译NAT功能 ;防火墙的主要缺陷有： 1．不能防范内部攻击。 2．不能防范不通过防火墙的连接入侵。 3．不能自动防御所有新的威胁。 ;5．2防火墙的类型和结构;从概念上来讲，可以将防火墙分成两种基本类型的防火墙： 1．网络层防火墙 网络层防火墙是作用于网络层的，一般根据源、目的地址做出决策，输入单个的IP包，通常需要分配有效的IP地址块。网络层防火墙一般速度都很快，对用户很透明。 2．应用层防火墙 应用层防火墙作用于网络应用层，是通过软件来分析用户应用层的数据流量，能对通过它的数据流进行记录和审计，能提供更详尽的审计报告。记录和控制所有进出流量的能力是应用层网关的主要优点之一。同时，应用层防火墙还可以充当网络地址翻译器。在某些情况下，设置了应用层防火墙后，可能会对性能造成影响，会使防火墙不太透明。应用层防火墙比网络层防火墙实施更保守的安全模型。 ;从技术上来讲，可以将防火墙分成传统防火墙，分布式防火墙，嵌入式防火墙和智能防火墙等。 1．嵌入式防火墙 嵌入式防火墙就是将防火墙功能嵌入到路由器或交换机中。嵌入式防火墙的主要优点和缺点见教材。 2．智能防火墙 智能防火墙就是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。 ;第一代防火墙始于1985年前后，由CISCO的IOS软件公司研制。这一代防火墙称为包过滤防火墙。 第二代防火墙结构基于电路中继的，此类防火墙被称为电路级网关防火墙。没有发布基于这一结构的任何产品。 第三代防火墙称为应用级网关防火墙。此类防火墙采用了在堡垒主机运行代理服务的结构。 第四代防火墙(目前）状态检测防火墙。 第五代防火墙，日前尚未有统一的说法。一种观点认为，在1996年由 Global Internet Software Group公司的首席科学家 Scott Wiegel开始启动的内核代理结构研究计划属于第五代防火墙；还在种观。点认为，在1998年由NAI公司推出的自适应代理技术给代理类型的防火墙赋予了全新的意义，可以称为第五代防火墙。 ;5．2．1防火墙分类; 大多数市面上销售的防火墙产品包含以下一种或多种防火墙结构： 静态包过滤； 动态包过滤； 电路级网关； 应用级网关； 状态检查包过滤： 切换代理： 空气隙（物理隔离）。 ;要了解防火墙是哪种类型的结构，关键是要知道防火墙工作于OSI模型的哪一层上。图5.2给出了OSI模型与防火墙类型的关系。;;5.2.2防火墙的体系结构;;;;5.3 包过滤技术5.3.1包过滤原理;;6.3.2包过滤的基本原则;;6.2.3 包过滤技术特点;5.4代理服务技术;例如，一个公司决定将一个Telnet服务器作为主机，以使得远程的管理员能够对其执行某些特定的操作。它代理一个连接过程如下： 1．有一个用户通过23端口Telnet到这个代理服务器上。屏蔽设备检测这个连接的源IP地址是否在允许的源地??列表中。如果在的话，就对该连接进行下一步的处理；如果不在的话，则拒绝该次连接。 2．提示用户进行身份验证。 3．在通过了身份验证后，系统就会提示用户给用户一个系统菜单来允许用户连接到目的主机。 4．用户选择要连接的系统。 5．如果有要求，系统会提示用户再输入另外的身份验证信息。 ;代理服务器结构;因特网网中的代理服务;因特网中的代理服务;因特网中的代理服务;5.5电路层网关技术;电路层网关的工作过程如下： 1．假设有一个用户正在试图和一个目的URL进行连接。 2．该用户所使用的客户应用程序是将请求发到地址已被解析的代理服务器的内部接口上。 3．如果需要身份验证的话，网关就会提示用户进行身份验证。 4．如果用户通过了身份验证的话，代理服务器就会执行一些另外的任务，然后代理服务器为目的URL发出一个DNS请求，接着它再用自己的源IP地址和目的IP地址建立一个连接。 5．代理服务器将Web服务器上的应答转发给客户。;5.6状态检测技术;;5.7分布式防火墙5.7.1传统边界式防火墙;5.7.2分布式防火墙概述;5.7.3分布式防火墙组成;;5.7.4分布式防火墙工作原理;;5.8防火墙安全策略5.8.1防火墙服务访问策略;5.8.2防火墙设计策略;防火