防火墙能有效地记录因特网上活动.pptVIP

第五章 防火墙技术基础 防火墙的基本知识 由于系统的安全性是由它的最薄弱环 节决定,因此,安全范围必须是整个系统 性的。例如,在某个大企业的内部网络中 含有许多不同品牌和型号的机器,而这些 机器的操作系统和应用程序又是千差万别 它们再通过不同供应商提供的不同性能和 容量的网络设备和路由器连接起来。在这 样不同种类、不断变化的环境中,检测整 个系统和确保所有部件的安全是相当费时 和复杂的。 防火墙是位于两个信任程度不同的 网络之间(如企业内部网络和 Internet 之间)的软件或硬件设备的组合,目的 是保护网络不被他人侵扰。本质上,它 遵循的是一种允许或阻止业务来往的网 络通信安全机制,也就是提供可控的过 滤网络通信,只允许授权的通信。 防火墙的基本功能 (1)防火墙能有效地记录因特网上的 活动 (2)防火墙限制暴露用户点 (3)防火墙是一个安全策略的检查站 (4)建立一个节流点。 防火墙作为中心控制点,易于实现 和更新公司的安全策略。它能为网络提 供安全的单访问点。所以用户可以在 个地方改变设置而无需改动每台机器 防火墙能在网络范围内加强安全,比如 防止网络中的每个人都有权访问某些 Internet资源。 因特网 防火墙 内部网 防火墙在因特网与内部网中的位置 防火墙可以看成是安装在两个网络之 间的一道栅栏,根据安全计划和安全策 略中的定义来保护其后面的网络。它应 该满足以下条件: (1)所有进出网络的通信流都应该通过 防火墙。 (2)所有穿过防火墙的通信流都必须有 安全策略和计划的确认和授权 (3)理论上说,防火墙是穿不透的。 防火墙的不足之处 (1)防火墙不能防范不通过它的连接 如果网络具有其他联接方式,比如一台 Windows pc使用一台调制解调器通过ISP 联到 Internet上,因为连接不经过防火墙, 因此绕过了防火墙提供的安全控制。 (2)防火墙不能防备全部的威胁 防火墙不能防止许多常见的 Internet问 题,如病毒和特洛伊木马。 从物理角度看,各站点防火墙物理实 现的方式有所不同。许多人认为防火墙是 台机器,有一些网络是这种情况。然而 防火墙这一术语和所执行的功能关系更紧 密一些,而不是指物理设备。防火墙可以 是一组硬件设备,即路由器、主计算机或 者是路由器、计算机和配有适当软件的网 络的多种组合。但是也有纯软件防火墙, 如天网个人防火墙。 防火墙相关术语 防火墙通常由多个不同的部分组成, 包括包过滤器( packet filters)、代理 ( proxies)和主机 hosts)等。我们需要了 解这些概念,以及网络地址翻译和操作系统 硬化的含义。 包过滤器 包过滤器在包对包的基础上进行网络 流量的处理。它们只在0sI参考模型的网 络层工作,因此它们能够准许或阻止IP 地址和端口,并且能够在标准的路由器 上以及专门的防火墙设备上执行。一个 纯包过滤器只关注下列信息:源IP地址 目标IP地址、源端口、目标端口、包类 型