防火墙技术-USTB-北京科技大学.PDF

网络安全与管理 第五章：防火墙技术 朱岩 北京科技大学 内容提要 • 防火墙基本概念 • 防火墙发展历程 • 包过滤防火墙 • 状态检测防火墙 • 应用代理防火墙 • 复合型防火墙 • 防火墙部署 • 个人防火墙介绍 防火墙基本概念 防火墙 • 当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周 围用来防止火灾的发生。这种墙被称之为防火墙。 • 网络安全的第一道防线 • 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和 Internet之间）的软件或硬件设备的组合，它对两个网络之间的通 信进行控制，通过强制实施统一的安全策略，防止对重要信息资源 的非法存取和访问以达到保护系统安全的目的。 防火墙定义 两个安全域之间通 信流的唯一通道 Internet 内部网 Source Destination Permit Protocol Host A Host C Pass TCP Host B Host C Block UDP 根据访问控制规则决 定进出网络的行为 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同 网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制 （允许、拒绝、 监视、记录）进出网络的访问行为。 防火墙(Firewall) • 防火墙的基本设计目标： 1. 所有通过 “内部”和“外部”的网络流量都要经过防火墙，通过隔 离达到访问控制的目的 2. 只有经过授权的流量才可以通过防火墙，通过安全策略实现 3. 防火墙本身不能被渗透，必须建立在安全操作系统的基础上 内部网络 外部网络 防火墙 防火墙(Firewall) • 防火墙的定义 • 是一种高级访问控制设备，置于不同网络安全域之间的一 系列部件的组合，它是不同网络安全域之间通信流的唯一 通道，能根据有关的安全策略控制（允许、拒绝、监视、 记录）进出网络的访问行为。 什么是防火墙（2/6） 防火墙 不可信网络 可信网络 和服务器 不可信用户 Internet Intranet 路由器 DMZ 可信用户 防火墙(Firewall) • 防火墙的控制能力 • 服务控制：确定哪些服务可以被访问 • 方向控制：对于特定的服务，可以确定允许哪个方 向能够通过防火墙 • 用户控制：根据用户来控制对服务的访问 • 行为控制：控制一个特定的服务的行为 防火墙能做什么 • 定义一个必经之点 • 挡住未经授权的访问流量 • 禁止具有脆弱性的服务带来危害