《信息安全概论》课件—08防火墙技术.pptVIP

* * * * 3.3 防火墙的部署 3.3.4 屏蔽子网结构防火墙 思考题 1.防火墙的主要作用是什么？ 2.防火墙都有哪些技术实现？ 3.防火墙的部署种类都有哪些？ 4. 屏蔽子网结构防火墙中的非军事区 DMZ 区指的是什么？ 5.防火墙不能防范什么样的攻击？ 6. 防火墙都有哪些恨不能指标？ 返回 Thanks For Attendance! * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 第8章　防火墙技术 概 述 　 本章讲述防火墙技术，它是信息安全当中最为重要的防护技术之一。防火墙被称为是信息系统安全的门户。本章主要讲述防火墙的概念，及最基本的技术实现，评价指标，部署方法等。 3.1 防火墙基本知识 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护信息系统的目的。 防火墙有网络防火墙和个人防火墙之分。个人防火墙主要是安装在个人电脑上的，用来保护的只是单一的个人电脑。很多公司都有个人防火墙如瑞星个人防火墙等，感兴趣的读都可以自己下载，试试各种功能。本章主要这里主要简单介绍一下网络防火墙。 3.1 防火墙基本知识 最一般的防火墙如图8.1所示，它有三个向外的接口，一个通向外网，一个通向内网，最后一个通向安全服务器网络SSN（Security Server Network）域。 3.1 防火墙基本知识 防火墙可以应用于不同安全级别的网络之间，或同一公司不同的部门之间，如图 8.2所示为不同安全级别网络之间的防火墙。 3.1 防火墙基本知识 如图 8.3 所示，防火墙可以根据访问控制规则决定进出网络的行为。 3.2 防火墙的作用与局限性 3.2.1 防火墙的主要作用 防火墙主要有 5 大作用： 1.防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。 2.在防火墙上可以很方便的监视网络的安全性，并产生报警。 3.防火墙可以作为部署 NAT(Network Address Translator，网络地址变换）的逻辑地址。 3.2 防火墙的作用与局限性 3.2.1 防火墙的主要作用 4.防火墙是审计和记录 Internet 使用量的一个最佳地方。网络管理员可以在此向管理部门提供 Internet 连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 5.防火墙也可以成为向客户发布信息的地点。 3.2 防火墙的作用与局限性 3.2.3 防火墙的局限性 防火墙的局限性主要包括如下一些方面： 1.防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务可以绕过防火墙，如图 8.4 所示。 2.防火墙不能防范来自内部人员恶意的攻击。 3.防火墙不能阻止被病毒感染的程序或文件的传递 。 4.防火墙不能防止数据驱动式攻击。例:特洛伊木马。 3.2 防火墙的作用与局限性 3.2.3 防火墙的局限性 防火墙的局限性主要包括如下一些方面： 3.3 防火墙的技术实现 防火墙按照功能大概可以分为 5 类，它们是包过滤防火墙、应用代理防火墙、状态检测 包过滤防火墙、包过滤与应用代理复合型防火墙、核检测防火墙。本章只介绍一下最简单的 包过滤防火墙和应用代理防火墙。 3.2 防火墙的作用与局限性 3.3.1 包过滤防火墙 最简单的防火墙是包过滤防火墙如图 8.5 所示。，它对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给 IP 转发过程的包头信息。 3.2 防火墙的作用与局限性 3.3.1 包过滤防火墙 3.2 防火墙的作用与局限性 3.3.1 包过滤防火墙 3.2 防火墙的作用与局限性 3.3.1 包过滤防火墙 包过滤防火墙的优点主要有两个：一个是速度快，性能高；另一个是对用户透明，用户不用管它是怎么设置的。包过滤防火墙的缺点主要是 7 个： 1.维护比较困难(需要对 TCP/IP 了解）。 2.安全性低（IP 欺骗等）。 3.不提供有用的日志，或根本就不提供。 4.不防范数据驱动型攻击。 5.不能根据状态信息进行控制。 6.不能处理网络层以上的信息。 7.无法对网络上流动的信息提供全面的控制。 3.2 防火墙的作用与局限性 3.3.2 应用代理防火墙 应用代理(Application Proxy)技术是指在 web 服务器上或某一台单独主机上运行代理 服务器软件，对网络上的信息进行监听和检测，并对访问内网的数据进行过滤，从而起到隔断内网与外网的直接通信的作用，保护内网不受破坏。