计算机网络安全管理作业——防火墙技术.pptxVIP

计算机网络安全作业——防火墙技术;防火墙技术 简要回答防火墙的定义和发展简史。 设置防火墙目的是什么？防火墙的功能和局限性各有哪些？ 简述防火墙的发展动态和趋势。 试述包过滤防火墙的原理及特点。静态包过滤和动态包过滤有什么区别？ 试述代理防火墙的原理及特点。应用层网关和电路层网关有什么区别？ 防火墙的主要技术及实现方式有哪些？ 防火墙的常见体系结构有哪几种？ 屏蔽路由器防火墙和屏蔽主机网关防火墙各如何实现？ ;一、防火墙的定义和发展简史;发展简史;第五代防火墙 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 一体化安全网关UTM UTM统一威胁管理，在防火墙基础上发展起来的，具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在中低端领域，UTM已经出现了代替防火墙的趋势，因为在不开启附加功能的情况下，UTM本身就是一个防火墙，而附加功能又为用户的应用提供了更多选择。在高端应用领域，比如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。 ;二、设置防火墙的目的、防火墙的功能和局限性;防火墙的功能;基本功能（2）;Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受??攻击。;Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。 ;防火墙局限性;三、防火墙的发展动态和趋势;四、包过滤防火墙的原理及特点 静态包过滤和动态包过滤的区别;包过滤操作流程图;包过滤防火墙的特点 ;　包过滤防火墙具有根本的缺陷： 　　1．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源IP包改成合法IP即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。 　　2．不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用FTP协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 　　3．不能处理新的安全威胁。它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。 　　综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。 ;静态包过滤和动态包过滤的区别;五、代理防火墙的原理及特点应用层网关和电路层网关的区别;代理防火墙的特点;代理技术的缺点 （1）代理速度较路由器慢 （2）代理对用户不透明 （3）对于每项服务代理可能要求不同的服务器 （4）代理服务不能保证免受所有协议弱点的限制 （5）代理不能改进底层协议的安全性 ;应用层网关和电路层网关的区别;六、防火墙的主要技术及实现方式;网络地址转换技术（NAT） 　　新一代防火墙利用NAT技术能透明地对所有