第章网络安全防火墙.ppt

* Ch9-防火墙 * 进行入站规则设置 * Ch9-防火墙 * 应用程序进行例外添加 * Ch9-防火墙 * Ch9-防火墙 * 防火墙 主要知识点： -- 防火墙概述 -- 防火墙技术 -- 防火墙的体系结构 * Ch9-防火墙 * 防火墙概述 为什么需要防火墙 对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，即对网络进行访问控制。 防火墙在网络安全中的位置 * Ch9-防火墙 * VPN 虚拟专用网 防火墙 内容检测 防病毒 入侵探测 谁需要防火墙 * Ch9-防火墙 * 任何使用互联网的企事业单位都需要防火墙 * Ch9-防火墙 * 防火墙的来源 “防火墙”一词源自于早期建筑。在古代，构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（FireWall）。如今在计算机网络中，沿用了古代这个名字来表示实现类似的网络安全功能。 防火墙的基本概念 * Ch9-防火墙 * 所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。 防火墙示意图 防火墙的实现层次 * Ch9-防火墙 * * Ch9-防火墙 * 防火墙的两条基本规则 一切未被允许的就是禁止的。 基于该规则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放，即只允许符合开放规则的信息进出。这种方法非常实用，可以造成一种十分安全的环境，因为所能使用的服务范围受到了严格的限制，只有特定的被选中的服务才被允许使用。这就使得用户使用的方便性受到了影响。 一切未被禁止的就是允许的。 基于该规则，防火墙逐项屏蔽被禁止的服务，而转发所有其它信息流。这种方法可以提供一种更为灵活的应用环境，可为用户提供更多的服务。但却很难提供可靠的安全防护，特别是当网络服务日益增多或受保护的网络范围增大时。 * Ch9-防火墙 * 典型的防火墙具有的基本特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 只有符合安全策略的数据流才能通过防火墙。 防火墙自身应具有非常强的抗攻击免疫力。 * Ch9-防火墙 * 防火墙的功能及局限性 防火墙的功能 * Ch9-防火墙 * 防火墙的局限性 防火墙不能防范不经由防火墙的攻击和威胁 不能防御已经授权的访问，以及存在于网络内部系统间的攻击，不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 不能修复脆弱的管理措施和存在问题的安全策略 WEB服务器 或SQL服务器 FW * Ch9-防火墙 * 防火墙的分类 根据物理特性分类 软件防火墙 硬件防火墙 从结构上分类 单一主机防火墙 路由集成式防火墙 分布式防火墙 * Ch9-防火墙 * 按工作位置分类 边界防火墙 个人防火墙 混合防火墙 按防火墙性能分类 百兆级防火墙 千兆级防火墙 从实现技术上分类 数据包过滤技术 代理服务 防火墙技术的发展过程 * * Ch9-防火墙 * 防火墙技术 数据包过滤技术 静态包过滤 动态包过滤 代理服务 应用级网关 电路级网关 状态检测技术 * Ch9-防火墙 * 数据包过滤 Internet 包过滤路由器 工作站 服务器 内部网络 工作站 工作站 * Ch9-防火墙 * 应用级网关（代理服务器） 应用级网关（代理服务器） 应用级网关提供两个网络间传输的高水平的控制，即能进行特定服务内容的监控和提供基于网络安全策略的过滤。 服务器代理 客户代理 客户代理 服务器代理 应用级网关 服务器 客户机 客户机 服务器 安全网络 不安全网络 * Ch9-防火墙 * 例：FTP代理服务器 FTP 代理 FTP客户 FTP服务器 FTP代理规则 安全数据库 TCP/UDP IP/ICMP Interfaces IP过滤规则 端口2021 不安全网络 安全网络 * Ch9-防火墙 * 电路级网关 电路级网关是一个通用代理服务器，工作在TCP/IP协议的TCP层，仅仅提供TCP连接的转发而不提供任何其它的报文处理和过滤。 客户 服务器 TCP层 IP层 Interfaces 不安全网络 安全网络 状态检测技术 状态检测防火墙不仅像包过滤防火墙考查数据包的IP地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表，将在内外网间传输的数