防火墙攻防技术.pptVIP

* * * * * * * * * 第二代:用户化的防火墙工具套件 特征： 将过滤功能从路由器中独立出来，并加上审计和告警功能； 针对用户需求提供模块化的软件包； 纯软件产品。 安全性提高，价格降低； 缺点： 配置和维护过程复杂费时； 对用户技术要求高； 全软件实现，安全性和处理速度均有局限； * Internet客户通过代理服务访问内部网主机 * 第三代：建立在通用操作系统上的防火墙 是近年来在市场上广泛使用的防火墙。 特征 包括包过滤或借用路由器的包过滤功能； 装有专用的代理服务系统，监控所有协议的数据和指令； 保护用户编程空间和用户可配置内核参数的设置； 安全性和速度大为提高。 * 第三代：建立在通用操作系统上的防火墙 实现方式：软件、硬件、软硬结合。 问题： 作为基础的操作系统及其内核的安全性无从保证。 通用操作系统厂商不会对防火墙的安全性负责； 第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统漏洞的攻击。 用户必须依赖两方面的安全支持：防火墙厂商和操作系统厂商。 上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。 * 被屏蔽子网防火墙系统 * 第四代：具有安全操作系统的防火墙 第四代防火墙本身是一个安全操作系统，安全性有质的提高。 获得安全操作系统的方法： 通过许可证方式获得操作系统的源码； 通过固化操作系统内核来提高可靠性。 * 第四代：具有安全操作系统的防火墙 特点： 防火墙厂商具有操作系统的源代码，并可实现安全内核； 对安全内核实现加固处理：即去掉不必要的系统特性，强化安全保护； 对每个服务器、子系统都作了安全处理；一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部分构成威胁。 在功能上包括了分组过滤、代理服务，且具有加密与鉴别功能； 透明性好，易于使用。 * 防火墙技术的回顾与展望 防火墙技术与产品发展回顾 防火墙的五大基本功能 防火墙的六大关键技术 防火墙产品的发展回顾 第四代防火墙的主要技术与功能 防火墙的安全标准 防火墙技术展望 * 第四代防火墙的主要技术与功能 双端口或三端口结构 透明的访问方式 灵活的代理系统 采用了两种代理机制，一种用于从内部网到外部网的连接，另一种用于此外部网到内部网的连接；前者采用NAT技术，后者采用用户定制代理服务。 多级的过滤技术 网络地址转换技术（NAT） * 第四代防火墙的主要技术与功能 安全服务器网络（SSN） 对外服务器既是内部网的一部分，又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护，它利用一张网卡将对外服务器作为一个独立网络处理。 用户鉴别与加密 用户定制服务 审计和告警 * 防火墙技术的回顾与展望 防火墙技术与产品发展回顾 防火墙的五大基本功能 防火墙的六大关键技术 防火墙产品的发展回顾 第四代防火墙的主要技术与功能 防火墙的安全标准 防火墙技术展望 * 防火墙的安全标准（1） 防火墙技术发展很快，但是现在标准尚不健全，导致不同的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难。为了解决这个问题目前已提出了2个标准： 1、RSA数据安全公司与一些防火墙的生产厂商（如Checkpoint公司、TIS公司等）以及一些TCP/IP协议开发商（如FTP公司等）提出了Secure／WAN（S／WAN）标准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCP／IP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍。 * 防火墙的安全标准（2） 此标准包含两个部分： ①防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能； ②安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。 * 防火墙的安全标准（3） 2、美国国家计算机安全协会NCSA （National Computer Security Association）成立的防火墙开发商FWPD （Firewall Product Developer）联盟制订的防火墙测试标准。 * 授课内容 防火墙基本知识 防火墙技术 防火墙种类 防火墙体系结构 防火墙技术回顾与展望 如何选择防火墙产品 典型配置案例 * 如何选择防火墙（1） 选择防火墙的标准有很多，但最重要的是以下几条： 1、总拥有成本 　　防火墙产品作为网络系统的安全屏障，其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论