网络安全培训教程--防火墙篇.pptVIP

防火墙的概念 防火墙—实施访问控制策略 防火墙的安全防护原则： · 外部网络“看不见”内部情况· 外部非法入侵者“进不来” · 机要敏感信息“拿不走” · 对外非法访问“出不去” 防火墙的优点 集中制定网络安全管理策略 隐含内部网络 保护网络中脆弱的服务 增强保密性，强化私有权 安全信息审计 安全发布信息 受保护网络 Internet 如果防火墙支持透明模式，则内部网络主机的配置不用调整 Host A Host C Host D Host B 同一网段 透明模式下，这里不用配置IP地址 透明模式下，这里不用配置IP地址 Default Gateway= 防火墙相当于网桥，原网络结构没有改变 透明接入 受保护网络 Internet Host A Host C Host D Host B Default Gateway= 防火墙相当于一个简单的路由器 6 7 提供简单的路由功能 路由接入 Host A 7 Host B 8 Host C Host D 0 不同子网通过防火墙路做静态路由进行通讯 同一网段地址通过防火墙的透明模式进行通讯 防火墙此时工作在混合模式下 混合接入 Host C Host D Host B Host A 受保护网络 Internet ··· ··· ··· ··· ··· ··· ··· Permit Password Username 预先可在防火墙上设定用户 Chenaf 123 验证通过则允许访问 Chenaf 123 Yes Liwy 883 No 用户身份认证 根据用户控制访问 身份认证 Host C Host D Host B Host A 受保护网络 Internet Internet 256K DDN专线=120K+80K+56K 优先级1：120K 优先级2：80K 优先级3：56K 做规则的时候，可以制定优先级 HOST A——Internet 优先级1 HOST B——Internet 优先级2 HOST C——Internet 优先级3 HOST D——Internet 优先级2 在防火墙上将出口带宽划分成不同的优先级 备注： 支持针对源IP、目IP、源端口、目端口来对通信进行分类 支持针对用户或组的通信分类 能在某一规则不能完全用完分配带宽的情况下，其他规则可以共享剩下的带宽 提供带宽状态信息的查询 带宽管理 Host C Host D Host B Host A 受保护网络 日志服务器 Internet Internet TCP…… TCP…… TCP…… TCP…… TCP…… 日志信息： 通过LEP协议向日志服务器输出日志信息 日志容错 Host C Host D Host B Host A 受保护网络 Internet Internet SNMP报文 获取硬件配置信息 资源使用状况信息 防火墙的流量信息 防火墙的连接信息 防火墙的版本信息 防火墙的用户信息 防火墙的规则信息 防火墙的路由信息 …… SNMP服务器端 SNMP客户端 SNMP管理 Host C Host D Host B Host A 受保护网络 Internet IDS 黑客 发起攻击 发送通知报文 验证报文并 采取措施 发送响应报文 识别出攻击行为 阻断连接或者报警等 安全联动 内部网 外网或者不信任域 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 心跳线 Active Firewall Standby Firewall 检测Active Firewall的状态 发现出故障，立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后，接管它的工作 双机热备 Host A Host B Host C Host D Internet 安全网域 Host G Host H ··· TCP 8：30 2001-02-07 ··· TCP 9：10 2001-02-07 写入日志 写入日志 一旦出现安全事故 可以查询此日志 信息审计 Host C Host D Host B Host A 受保护网络 Internet Host C Host D Host B Host A 受保护网络 判断是否需要加密 对数据加密或认证 判断是否需要解密 解密数据 是 VPN功能 Internet 公开服务器可以使用私有地址 隐藏内部网络的结构 WWW FTP MAIL DNS MAP ：80 TO ：80 MAP ：21 TO ：21 MAP