第八章 防火墙概述.pptVIP

网络设备配置管理（高级） 授课教师：程治国 第八章 防火墙概述 1、网络设备（系统）简介 路由器、（二/三）层交换机、防火墙、VPN、IDS/IPS、UTM、计费网关、AAA设备、流控（流量整形）系统、上网行为管理系统、日志系统、网络管理系统、桌面管理系统、物理网闸、负载均衡等。 2、防火墙定义 防火墙是位于两个或多个网络之间，执行访问控制策略的一个设备或一组系统的总称。 3、防火墙的功能及作用 它可以有效地保护本地系统或网络，抵制外部网络安全威胁，同时支持受限的通过WAN或Internet对外界进行访问。 基本功能： （1）限定内部用户访问外部网络（内网对外网访问的控制）。 （2）防止未授权用户访问内部网络（外部对内部的访问控制）。 （3）允许内部网络中的用户访问外部网络而不泄漏自身的数据和资源（例如通过NAT后对外网不可见，单向PING）。 （4）记录通过防火墙的信息内容和活动（日志功能）。 优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强，网络安全级别高。 缺点，难于配置，处理速度非常慢，需配置各种代理。 5、防火墙的工作模式 6、防火墙系统组网模型 （1）屏蔽路由器结构：屏蔽路由器结构是防火墙最基本的结构。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过IP地址或端口检查，屏蔽路由器一般为具备包过滤（静态或动态包过滤）功能的防火墙承担。优点为实现比较简单，屏蔽路由器对用户透明，而且设置灵活，所以应用比较广泛。这种体系结构存在以下缺点： (a) 无法对应用层的网络攻击和入侵进行有效防御和保护。 (b) 规则表随着应用的深化会变得很大而且很复杂。 (c) 依靠单一的防火墙来保护网络，一旦防火墙出现问题会完全失去对内网保护 * * （5）对网络攻击进行监测报警及防御（基本的网络安全检测防御能力）。 （6）使用互连/NAT方式进行网络组建 扩展功能： （1）路由和网桥模式的安全防御。 （2）实现VPN的功能。 （3）和IDS联动或集成IDS/IPS功能。 （4）集成流量控制的功能,实现负载均衡功能。 （5）集成网络计费,防范垃圾邮件，网页内容过滤，防范病毒/木马。 3、防火墙的分类 软/硬件类型 软件防火墙：ISA,m0n0,Checkpoint,Iptables,pfsense， 硬件防火墙:Netscreen,Cisco pix/ASA,H3C secpath,天融信，神码DCFW,锐捷 RG-wall,中软，联想网御等 按照用途 网间防火墙： 服务器防火墙：Blackice,诺顿、Checkpoint 服务防火墙：SecureIISWeb、Anti-ARP、抗DDos防火墙等、 个人防火墙：瑞星、天网、费尔、ZoneAlarm 电信级：华为Eudemon 100E、 DCFW-1800E 企业级：ISA,DCFW-1800S,PIX 515/525/525 SOHO级：Cisco 501/506, SONICWALL 按硬件体系结构 X86架构(PC架构工控机) ：国内大部分的SOHO防火墙 NP架构(网络处理器) :天融信，联想网御 AISC架构(专用集成电路) :Netscreen,Cicso, 按工作原理 状态监测防火墙：ISA,m0n0,大部分的硬件防火墙 包过滤防火墙:Winroute,ROS,大部分的硬件路由器 应用级代理防火墙:Wingate,Cgate,Ccproxy 4、防火墙的工作原理 （1）包过滤防火墙（静态包过滤） 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、三层交换机以及某些操作系统已经具有包过滤的控制能力。 优点：由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 缺点：不能有效防范黑客入侵，不支持应用层协议，不能处理新的安全威胁。 （2）应用代理技术防火墙： 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。 （3）状态检测防火墙（动态包过滤） 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址端口等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部