第6讲网络访问控制概述.pptxVIP

第6章 网络访问控制 1 一、防火墙基本知识 1、防火墙的提出 2、什么是防火墙 3、防火墙发展回顾 4、防火墙功能 5、防火墙的局限性 6、争议及不足 7、防火墙的设计原则 8、防火墙的分类 2 企业上网 面 临 的 安 全 问 题之一: 内部网与互联网的有效隔离 解答: 防火墙 网络间的访问 ----需隔离 FIREWALL 1、防火墙的提出 3 2、什么是防火墙（1） 在一个受保护的企业内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统. 4 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 定义：防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 2、什么是防火墙（2） 5 2、什么是防火墙（3） 不可信网络 和服务器 可信网络 防火墙 路由器 Internet Intranet 可信用户 不可信用户 DMZ 6 目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 注意：但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。 2、什么是防火墙（4） 7 2、什么是防火墙（5） 防火墙可在链路层、网络层和应用层上实现； 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的； 从网络防御体系上看，防火墙是一种被动防御的保护装置 。 8 4、防火墙功能（1） 9 4、防火墙功能（2） 应用程序代理 包过滤状态检测 用户认证 NAT VPN 日志 IDS与报警 内容过滤 基本功能模块 10 网络的安全性通常是以网络服务的开放性和灵活性为代价的。 防火墙的使用也会削弱网络的功能： ① 由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍； ② 由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率。 5、防火墙的局限性（1） 11 防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失： 只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力； 不能解决来自内部网络的攻击和安全问题； 不能防止受病毒感染的文件的传输； 不能防止策略配置不当或错误配置引起的安全威胁； 不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。 5、防火墙的局限性（2） 12 6、争议及不足 使用不便，认为防火墙给人虚假的安全感 对用户不完全透明，可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时，其作用会受到很大的限制 13 6、争议及不足(2) 内部提供的拨号服务绕过了防火墙 14 7、防火墙的设计原则（1） 所有从内到外和从外到内的通信量都必须经过防火墙。 只有被认可的通信量通过本地安全策略进行定义后才允许传递 防火墙对于渗透是免疫的 15 7、防火墙的设计原则（2） Internet防火墙可能会扮演两种截然相反的姿态 拒绝没有特别允许的任何事情 允许没有特别拒绝的任何事情 16 8、防火墙的分类（1） 根据防火墙组成组件的不同 软件防火墙 一般硬件防火墙 纯硬件防火墙 根据防火墙技术的实现平台 Windows防火墙 Linux防火墙 17 8、防火墙的分类（2） 根据防火墙被保护的对象的不同 主机防火墙（个人防火墙） 网络防火墙 根据防火墙自身网络性能和被保护网络系统的网络性能 百兆防火墙 千兆防火墙 18 8、防火墙的分类（3） 根据防火墙功能或技术特点的不同 主机防火墙 病毒防火墙 智能防火墙 根据防范方式和侧重点的不同 下一节重点讲述 19 二、防火墙技术 根据防范方式和侧重点的不同可分为几类： 包过滤防火墙 状态防火墙 应用网关 NAT技术 分布式防火墙 病毒防火墙 20 1、包过滤防火墙（1） 21 1、包过滤防火墙（2） 包过滤防火墙对所接收的每个数据包做允许拒绝的决定。 包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃