电子商务安全实务课件6 防火墙安装与应用.ppt

实训六：防火墙安装与应用 4.2 屏蔽主机结构 Internet 包过滤 路由器 内部网 外部网 交换机 堡垒主机 （运行代理服务） 工作站 客户机 屏蔽主机结构防火墙体系 堡垒主机运行应用代理服务程序，为内部主机提 供代理服务 实训六：防火墙安装与应用 屏蔽子网机构防火墙体系在屏蔽主机结构的基础上， 增加了一个周边防御网段，即在内部网络和外部网 络之间建立一个被隔离的独立子网，进一步隔离内 部与外部网络，使内、外网之间形成一条“隔离 带”，称为非军事区 DMZ 。 4.3 屏蔽子网结构 实训六：防火墙安装与应用 4.3 屏蔽子网结构 Internet 堡垒主机 内部网 外部网 交换机 包过滤 路由器 包过滤 路由器 DMZ 区 屏蔽子网结构防火墙系统 这种结构主要优势就是攻击者必须攻破 3 个单独的 设备——外部包过滤路由器、 DMZ 中堡垒主机、内 部包过滤路由器， DMZ 所受到的安全威胁不会影响 到内部网络。 LOGO 实训六 防火墙安装与应用 实训六：防火墙安装与应用 实训 目的 掌握防火墙的类型及其特点 掌握常用防火墙的安装 掌握防火墙定义、功能 熟悉防火墙的功能使用及配置 实训六：防火墙安装与应用 实 训 背 景 当今，计算机网络安全面临着越来越多 的威胁，对于这些安全问题最基本的方 法就是对来自外部的访问请求进行限制。 所以需要在我们的内部系统与外部网络 之间建立一道屏障来进行隔离控制，即 非常有效的一种网络安全手段—防火墙 技术。作为网络用户，安装、配置防火 墙是必须的安全防御手段。 实训六：防火墙安装与应用 Internet 内 部 网 是否与制定 的规则匹配 审 核 操作类型 是 是否允许 转发数据包 丢弃数据包 转发数据包 是否还有 规则需匹配 结束 是 是 否 否 否 判断数据是否被 允许转发过程 防火墙工作流程示意图 ? 防火墙 是指一种由计算机硬件和软件组成的一 个或一组系统，介于内部网络和不可信任的外 部网络之间，用于增强内部网络和 Internet 之 间的访问控制。 ? 通过实施相应的访问控制策略来控制（允许、 拒绝、监视、记录）进出网络的访问行为，以 防止未经授权的通信进出被保护的内部网络 【相关知识】 1 防火墙概念 实训六：防火墙安装与应用 内部网络 外部网络 防火墙 防火墙示意图 实训六：防火墙安装与应用 ? 一切未被允许的就是禁止 。基于该准则，防火 墙封锁所有信息流，然后对希望提供的服务逐 项开放。 ? 一切未被禁止的就是允许的 。基于该准则，防 火墙转发所有信息流，然后逐项屏蔽有害的服 务。这种方法构成了更为灵活的应用环境，可 为用户提供更多的服务。 防火墙安全策略设计准则： 实训六：防火墙安装与应用 ? 所有的网络数据都必须经过防火墙 ? 防火墙是安全策略的检查站 ? 防火墙具有非常强的抗攻击能力 防火墙通常作用于被保护区域的入口处，基 于访问控制策略提供安全防护。典型的防火 墙具有以下 3 个方面的 基本特征 ： 实训六：防火墙安装与应用 ? 过滤和管理 。通过制定尽可能完整的安全策略，防 火墙能够对进出网络的数据包进行过滤，只有符合 策略的数据包才能通过，可以过滤掉不安全服务和 非法用户，禁止未授权的用户访问受保护网络。 ? 创建一阻塞点 。防火墙在内网和外网间建立一个检 查点，所有的流量都要通过这个检查点。一旦这个 检查点被创建，防火墙就可以监视、过滤和检查所 有进出的数据流。 2 防火墙功能 实训六：防火墙安装与应用 ? 日志记录和告警。 防火墙能有效地记录 Internet 上 的活动 ， 同时也提供网络使用情况的统计数据信息， 实现安全监视和预警的目的。 ? 创建一阻塞点 。防火墙在内网和外网间建立一个检 查点，所有的流量都要通过这个检查点。一旦这个 检查点被创建，防火墙就可以监视、过滤和检查所 有进出的数据流。 ? 限制网络暴露 。防火墙可以对内部网络隔成一个个 网段，可实现内部重点网段的隔离 实训六：防火墙安装与应用 ? 防止信息外泄 。防火墙可以作为部署网络地址转换 （ NAT ）的地点，利用 NAT 技术，防火墙可以隐藏内 部网的结构和内部 IP 地址信息。同时，防火墙也可 以阻塞有关内部网络中的 DNS 信息，使一个主机内部 的 IP 地址和域名不会被外界了解，有效地降低了内 部信息的外泄程度，从而减小了可信任网络被攻击 的可能性。 ? 支持虚拟局域网（ VPN ， Vi