防火墙培训_1_发展史和技术原理(天融信).pptxVIP

防火墙培训1 发展史和技术原理 天融信 2019年3月3日 目录 目录 防火墙的定义 防火墙是什么？ 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 内部网 防火墙的外观 防火墙是什么？ 通过在安全边界部署防火墙，可以实比 VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。 防火墙的分类 防火墙是什么？ 软件防火墙 硬件防火墙 按形态分类 按保护对象分类 保护整个网络 保护单台主机 网络防火墙 单机防火墙 软件防火墙硬件防火墙 防火墙是什么？ 硬件防火墙 软件防火墙 操作系统平台 安全性 性能 稳定性 网络适应性 分发 升级 成本 硬件防火墙 基于精简专用OS 高 高 较高 强 不易 较容易 Price=firewall+Server 软件防火墙 基于庞大通用OS 较高 较高 高 较强 非常容易 容易 Price=Firewall 1、仅获得Firewall软件，需要准备额外的OS平台 2、安全性依赖低层的OS 3、网络适应性弱（主要以路由模式工作） 4、稳定性高 5、软件分发、升级比较方便 1、硬件+软件，不用准备额外的OS平台 2、安全性完全取决于专用的OS 3、网络适应性强（支持多种接入模式） 4、稳定性较高 5、升级、更新不太灵活 单机防火墙网络防火墙 防火墙是什么？ 单机防火墙 网络防火墙 1、保护单台主机 2、安全策略分散 3、安全功能简单 4、普通用户维护 5、安全隐患较大 6、策略设置灵活 1、保护整个网络 2、安全策略集中 3、安全功能复杂多样 4、专业管理员维护 5、安全隐患小 6、策略设置复杂 单机防火墙 网络防火墙 产品形态 软件 硬件或者软件 安装点 单台独立的 Host 网络边界处 安全策略 分散在各个安全点 对整个网络有效 保护范围 单台主机 一个网段 管理方式 分散管理 集中管理 功能 功能单一 功能复杂、多样 管理人员 普通计算机用户 专业网管人员 安全措施 单点安全措施 全局安全措施 结论 单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能 单机防火墙 网络防火墙 目录 防火墙的发展史 历史与趋势 访问控制机制的演变 1、路由器—ACL 访问控制列表 2、包过滤防火墙—根据IP五元组判断能否通过 3、状态监测防火墙—根据应用判断能否通过 4、应用代理防火墙—根据应用判断能否通过 5、多检测机制防火墙—根据多个IP包判断整体应用后判断能否通过 6、多功能集成网关（下一代防火墙）—嵌入多种防护功能，经过多层过滤后判断能否通过 防火墙的发展史 历史与趋势 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 包过滤与应用代理复合型防火墙 5. 核检测防火墙 包过滤防火墙定义 历史与趋势 数据包过滤(Packet Filtering)技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表(Access Control List，ACL) 包过滤防火墙分为静态包过滤、动态包过滤防火墙 包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP头部），通常只检查下列几项： IP源地址 IP目标地址 TCP或UDP的源端口号 TCP或UDP的目的端口号 协议类型 ICMP消息类型 TCP报头中的ACK位 TCP的序列号、确认号 IP校验和 包过滤防火墙工作流程 历史与趋势 应用层 TCP 层 IP 层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP 层 IP 层 网络接口层 101010101 只检查报头 101001001001010010000011100111101111 0010010010100100000111001111011110 1、简单包过滤防火墙不检查数据区 2、简单包过滤防火墙不建立连接状态表 3、前后报文无关 4、应用层控制很弱 包过滤防火墙优缺点 历史与趋势 优点 逻辑简单 对网有较强的透明性 络性能的影响较小 开销较小，设备便宜 缺点 无法对数据包的内容进行过滤审核 在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个 请求是非法的还是合法的。 防止欺骗攻击很难，特别是容易受到IP欺骗攻击 所有可能用到的端口(尤其是1024的端口)都必需放开,增加了被攻击的可能性 在复杂的网络中很难管理 通常来说包过滤技术是防火墙技术中最低的。 状态检测防火墙定义 历史与趋势 由动态包