信息安全知识竞赛培训-防火墙.ppt

* * * * * * * * * * * * * * * * * 。 * * * * * * * * * * * * * * * * * * * * * * * 防火墙概述 防火墙主要技术 防火墙策略 防火墙其它功能 防火墙性能指标 防火墙部署案例分析 防火墙技术的发展趋势 防火墙技术 VPN 虚拟专用网 防火墙 内容检测 防病毒 入侵探测 防火墙在网络安全中的位置 防火墙部署方式 透明模式 路由模式 混合模式 如果防火墙支持透明模式，则内部网络主机的配置不用调整 透明模式下，这里不用配置IP地址 透明模式下，这里不用配置IP地址 透明接入 透明模式下防火墙相当于网桥，原网络结构没有改变 外网、DMZ、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。 透明模式的典型应用 提供简单的路由功能 路由接入 外网、DMZ区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。 路由模式的典型应用 此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式 两接口在不同网段，防火墙处于路由模式 两接口在不同网段，防火墙处于路由模式 两接口在同一网段，防火墙处于透明模式 混合接入 防火墙技术 防火墙概述 防火墙主要技术 防火墙策略 防火墙其它功能 防火墙性能指标 防火墙部署案例分析 防火墙技术的发展趋势 防火墙技术的发展趋势 UTM（统一威胁管理） 集防火墙、VPN、网关防病毒（Anti-Virus Gateway）、入侵检测和防御系统、（IDSIPS）、抗拒绝服务攻击系统（Anti-DOS）、流量监控和日志审计系统等功能于一体，统一管理。 更加人性化，简单易用 防火墙配置注意事项 默认情况下应关闭防火墙远程管理功能，如果必须从远程管理防火墙，则采取安全的管理方式，如SSH和HTTPS 防火墙配置时应明确关闭Rlogin、NNTP、Finger和NFS端口 防火墙策略采用最小访问控制原则，“缺省全部关闭，按需求开通” 配置防火墙确策略要保证其有效性，不缺失、不重复、不矛盾 防火墙的日志管理应遵循 本地保存日志并把日志保存到日志服务器上 保持时钟的同步 防火墙配置注意事项 缺省情况下，可信接口上的任何主机都可管理NetScreen 设备，建议控制管理地址段 set admin manager-ip NetScreen防火墙的外网口应禁止ping测试，内网口应限制PING测试网段 建议修改NetScreen 缺省的HTTP 80监听端口 NetScreen的ROOT管理员具有最高权限，为了避免ROOT管理员密码被窃取后造成威胁，应该限制ROOT只能通过CONSOLE接口访问设备，而不能远程登录 Title 版本： 编号： 日期：2003年 中国信息安全产品测评认证中心（CNITSEC） * * * * * * * * * * * * * * * * * * 状态检测技术特点 提供了完整的对传输层的控制能力。 使防火墙性能得到较大的提高，特别是大流量的处理能力； 而且，它根据从所有应用层中提取的与状态相关信息来做出安全决策，使得安全性也得到进一步的提高。 任何一款高性能的防火墙，都会采用状态检测技术。 应用代理技术介绍 应用代理防火墙实例 外部Telnet服务器 内部Telnet服务器 日志系统 Telnet代理 FTP代理 认证系统 应用网关 一个Telnet代理的例子 应用代理技术优缺点 优点 是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强； 在网络连接建立之前可以对用户身份进行认证； 所有通过防火墙的信息流可以被记录下来； 支持内部网络的信息隐藏； 缺点 难于配置 由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。 处理速度非常慢 防火墙对用户不透明 复合型 防火墙的工作原理 防火墙新技术 内容检测技术 防资源滥用技术 控制P2P下载 连接控制与流量整形 通过连接控制来限制具体用户所能发出的会话数目。 通过流量整形控制具体用户所能占有的带宽。 QQ、MSN等即时通讯控制 防火墙概述 防火墙主要技术 防火墙其它功能 防火墙策略 防火墙性能指标 防火墙部署案例分析 防火墙技术的发展趋势 防火墙技术 防火墙其它功能 NAT功能 安全审计 负载均衡 双机热备 防御功能 联动功能 内容过滤 VPN功能 策略路由 VLAN终结和透传 端口映射 DHCP环境支持 MAC绑定功能 带宽管理 多协议支持 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能 NAT地址转换技术 负载均衡算法：