防火墙基本技术和原理.pptxVIP

防火墙基本技术和原理 严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。防火墙简介防火墙的分类按形态分类软件防火墙硬件防火墙按保护对象分类保护整个网络保护单台主机网络防火墙单机防火墙防火墙简介单机防火墙网络防火墙单机防火墙网络防火墙产品形态软件硬件安装点每台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能网络防火墙单机防火墙1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设置复杂防火墙简介软件防火墙硬件防火墙软件防火墙硬件防火墙1、仅获得Firewall软件，需要额外的OS平台2、安全性依赖低层的OS3、网络适应性弱4、稳定性高5、软件分发、升级比较方便1、硬件+软件，不用准备额外的OS平台2、安全性完全取决于专用的OS3、网络适应性强(支持多种接入模式)4、稳定性较高5、升级、更新不太灵活操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Firewall防火墙简介防火墙的概念 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。 防火墙是置于不同网络安全域之间的高级访问控制设备，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙简介防火墙的功能特点1、限制人们从一个特别的控制点进入； 2、防止入侵者接近你的其它防御设施； 3、限定人们从一个特别的点离开； 4、有效地阻止破坏者对你的计算机系统进行破坏。 禁止访问禁止访问防火墙简介防火墙的硬件技术1、基于Intel x86系列架构的产品，又被称为工控机防火墙 2、基于专用集成电路（ASIC）技术的防火墙3、基于网络处理器（NP）技术的防火墙 防火墙简介基于Intel x86系列架构的防火墙基于PC架构，运行经过简化的Unix、Linux或FreeBSD，适用于低端市场优点：﹡ 高灵活性、高扩展性、系统升级容易 ﹡ 考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开 发新的功能 ﹡ 随着CPU性能的快速提高，防火墙的处理速度和能力将会大幅度提高，能很好的适应多接口百 兆，千兆防火墙的计算要求缺点： ﹡性能较差，对数据包的转发性弱 ﹡国内厂商并不能完全掌握x86架构的核心技术，BIOS或操作系统可能存在隐藏的漏洞，影响防 火墙的安全可靠性 ﹡抗攻击能力较差防火墙简介基于Intel x86系列架构的防火墙千兆防火墙高端百兆防火墙普通百兆防火墙SOHO防火墙防火墙简介基于专用集成电路 （ASIC）技术的防火墙ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。主要应用在国外厂商的产品中，如NetScreen。是公认的使防火墙达到线速千兆的技术方案。优点：﹡性能上占有很大优势 ﹡抗攻击能力强 ﹡技术成熟、稳定缺点：﹡很难修改升级、增加新功能或提高性能 ﹡设计和制造周期长、研发费用高，难以满足用户需求的不断变化防火墙简介基于ASIC架构的防火墙FortiGateNetscreenwatchguard Firebox首信防火墙简介基于网络处理器（NP）技术的防火墙NP（网络处理器）是专门为处理数据包而设计的可编程处理器，它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力 优点：﹡能够直接完成网络数据处理的一般性任务，大多采用高速的接口技术和总路线规范，具有较高 的I/O能力，性能上与x86架构防火墙比有很大提高 ﹡支持编程，一旦有新的技术或需求出现，设计师可方便地通过微码编程实现缺点：﹡技术方面还不成熟 ﹡各厂商NP产品的接口不统一，无法完成无缝的整合 ﹡对复杂应用数据，如分片数据包的重组和加密处理，表现较差 ﹡NP防火墙的测试标准还没有推出 ﹡防火墙的稳定性和高性能还需检验防火墙简介基于NP架构的防火墙中科网威NP墙东软NetEye NP墙联想NP墙联想