网络攻防原理与技术第13章 网络防火墙技术.pptx

;;3;防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组安全系统。它是一种计算机硬件和软件系统集合，是实现网络安全策略的有效工具之一，被广泛地应用到Internet与Intranet之间。 所有的内部网络与外部网络之间的通信都必须经过防火墙进行检查与连接，只有授权允许的通信才能获准通过防火墙。 防火墙可以阻止外界对内部网资源的非法访问，也可以防止内部对外部的不安全访问。;防火墙的基本概念;网络防火墙的主要功能;保护脆弱和有缺陷的网络服务 防火墙通过过滤不安全的服务而降低风险，能极大地提高一个内部网络的安全性。 例如，防火墙可以禁止Telnet、FTP进出受保护网络，避免外部攻击者利用这些脆弱的协议来攻击内部网络。 ;集中化的安全管理 通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上，集中安全管理更经济。 例如，网络访问时，一次一密口令系统和其它的身份认证系统不必分散在各个主机上，而集中在防火墙上。; 加强对网络系统的访问控制 一个防火墙的主要功能是对整个网络的访问控制。 比如，防火墙可以屏蔽部分主机，使外部网络无法访问。同样，可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其它服务，但无法访问该主机的特定服务。;加强隐私 保护内网信息，避免泄露内部网络的某些安全漏洞。 使用防火墙就可以屏蔽泄露网络内部细节的服务，如Finger 服务，DNS服务。 Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。 内网的DNS将暴露内部主机的域名和IP地址信息。;对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。 当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。;;防火墙分类（一）;防火墙分类（二）;防火墙分类（三）;防火墙分类（四）;防火墙分类（五）;网络防火墙按照实现技术来分，主要可分为两类：一类是网络级防火墙，另一类是应用级防火墙。;防火墙的类型（六）;应用级防火墙：也叫应用网关（Application Gateway）。 它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。;;个人防火墙;;防火墙与“病毒防火墙”;;技术的发展过程(1/3);技术的发展过程(2/3);技术发展过程(3/3);29;防火墙的包过滤技术;;包头中的主要信息;包过滤操作的六项要求;包过滤操作的要求;包过滤规则实例（1/3）;包过滤规则实例（2/3）;包过滤规则实例（3/3）;Cisco路由器包过滤规则;Cisco路由器包过滤规则;Cisco的标准访问列表（1/3）;Cisco的标准访问列表（2/3）;Cisco的标准访问列表（3/3）;Cisco的扩展访问列表(1/3);Cisco的扩展访问列表(2/3);Cisco的扩展访问列表(3/3);包过滤技术的特点（1/2）;包过滤技术的特点（2/2）;包过滤路由器与普通路由器(1/2);包过滤路由器与普通路由器(2/2);;;状态检测技术;基于状态检查的包过滤技术;;状态检测技术：优点;状态检测技术：缺点;;应用级代理;应用层代理;应用级代理的优点;应用级代理;;应用级代理 VS 包过滤技术 ;应用级代理的优点;应用级代理的缺点(1/2);应用级代理的缺点(2/2);代理服务器的实现;自适应代理技术(1/2);自适应代理技术(2/2);;Gartner，2009《Defining the Next-Generation Firewall）》，下一代防火墙定义：一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护 针对应用、用户、终端及内容的高精度管控 外部安全智能 一体化引擎多安全模块智能数据联动 可视化智能管理 高性能处理架构 本质上是前面介绍哪种防火墙？ ;;;;防火墙体系结构;相关概念：堡垒主机;Bastion Host;相关概念：DMZ区;客户机;过滤路由器结构是最简单的防火墙结构。 缺点： 没有或有很简单的日志记录功能，网络管理员很难确定网络系统是否正在被攻击或已经被入侵。 规则表随着应用的深化会变得很大而且很复杂。 依靠一个单一的部件来保护网络系统，一旦部件出现问题，会失去保护作用，而用户可能还不知道。;二、双穴主机体系结构(1/3);内部网络;二、双穴主机体系结构(3/3);三、屏蔽主机体系结构(1/3);;优点： 如果受保护网络是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影响堡垒主机和屏蔽路由器的配置。 危险区域只限制在堡垒主机和屏蔽路由器。 缺点： 堡垒主机与其他主机在同一个子网