网络安全 防火墙技术.pptVIP

防火墙技术 防火墙（Firewall） 防火墙概念 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。 它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。 防火墙的基本功能 (1)可以限制位授权的用户进入内部网络，过滤掉不安全的服务与非法用户。 (2)防止入侵者接近网络防御设施。 (3)限制内部用户访问特殊站点。 防火墙的局限性 防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 防火墙不能防止传送已感染病毒的软件或文件，不能期望防火墙对每一个文件进行扫描，查出潜在的病毒。 防火墙技术－包过滤 一个分组过滤型防火墙通常能根据IP分组的以下各项过滤： 源IP地址 目标IP地址 TCP/UDP源端口 TCP/UDP目标端口 协议类型 防火墙技术－包过滤 优点： 透明的防火墙系统 高速的网络性能 易于配置 支持网络内部隐藏 缺点： 易于IP地址假冒 记录日志信息不充分 源路由攻击 设计和配置一个真正安全的分组过滤规则比较困难 分组过滤防火墙并不能过滤所有的协议 极小分片设数据包攻击 无法防止数据驱动式攻击 防火墙技术－应用代理 优点： 在网络连接建立之前可以对用户身份进行认证 所有通过防火墙的信息流可以被记录下来 易于配置 支持内部网络的信息隐藏 与分组过滤规则相比简单 易于控制和管理 缺点： 对每种类型的服务都需要一个代理 网络性能不高 防火墙对用户不透明 客户应用可能需要修改 需要多个防火墙主机 防火墙系统的部署方式 1．边界防火墙  边界防火墙所在的位置就是企业内部网络与外部网络（包括因特网、广域网和其他公司的专用网）之间。防火墙的内外网卡分别连接于内、外部网络，但内部网络和外部网络是从逻辑上完全隔开的。所有来自外部网络的服务请求只能到达防火墙的外部网卡。防火墙对收到的数据包进行分析后，将合法的请求通过内部网卡传送给相应的服务主机，对于非法访问加以拒绝。 2．内部防火墙  通过在服务器群的入口处设置内部防火墙，制定完善的安全策略，可以有效地控制内部网络的访问。 边界防火墙和内部防火墙各自的主要功能参见书中介绍。 防火墙在网络安全防护中的应用 防火墙在网络中的应用主要有以下几个方面： 控制来自因特网对内部网络的访问 控制来自第三方局域网对内部网络的访问 控制局域网内部不同部门网络之间的访问 控制对服务器中心的网络访问 控制来自因特网对内部网络的访问  这是防火墙的一种最基本应用，也是应用最广的一项应用。其整个网络结构分为3个不同级别的安全区域：内部网络、外部网络和DMZ（非军事区）。 防火墙在网络安全防护中的应用 控制来自第三方局域网对内部网络的访问 这种应用主要是针对一些规模比较大的企事业单位，用来与分支机构、合作伙伴或供应商的局域网进行连接，或者是同一企业网络中存在多个子网。在这种应用环境下，防火墙主要限制第三方网络（以上所说的其他单位局域网或本单位子网）对内部网络的非授权访问。 控制局域网内部不同部门之间的访问 这种应用环境就是在一个企业内部网络之间，对一些安全敏感的部门或者特殊用户进行的隔离保护（当然所隔离的也可以是一个单独的子网）。通过防火墙保护内部网络中敏感部门的资源不被非法访问。 防火墙在网络安全防护中的应用 控制对服务器中心的网络访问 这种应用可以有两种部署方法。 1．为每个用户的服务器群单独配置一个独立的防火墙 网络拓扑结构如下面左图所示。这是一种传统方法。 2．采用虚拟防火墙方式 网络拓扑结构如下面右图所示。这主要是利用三层交换机的VLAN功能，先为每一台连接在三层交换机上的用户服务器群配置成一个单独的VLAN子网，然后通过对高性能防火墙对VLAN子网的配置，就相当于将一个高性能防火墙划分为多个虚拟防火墙。其典型网络结构如下图所示。 防火墙实现策略 网络服务访问策略 不允许外部网络或Internet访问内部网络，但允许内部网络访问外部网络或Internet。 允许外部网络或Internet访问部分内部网络，这些特定的网络服务是经过严格选择和控制的，如一些