（中职）计算机网络技术第7章教学课件.pptVIP

任务3防火墙的概念 屏蔽子网体系结构的最简单的形式为两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间(通常为因特网)，其结构如图7-4所示。为了侵入用这种类型的体系结构构筑的内部网络，侵袭者必须要通过两个路由器。 即使侵袭者设法侵入堡垒主机，他仍然必须通过内部路由器，在此情况下，整个系统中不存在损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。 7.3.5典型的Internet防火墙 现在已经了解了防火墙的基本概念，通常情况下，包过滤防火墙与应用网关常常一起配合使用，这样既为内部的主机访问外部信息提供了一个安全的数据通道，同时又能有效地防止外部主机对内部网络的非法访问。图7-5是一个典型的防火墙的示意图。 下一页 返回 上一页 任务3防火墙的概念 如图7-5所示，包过滤防火墙不仅实现了对外的屏障，而且实现了对内部主机的屏障，将公司内部的主机与外部网络隔离起来。它阻拦所有的数据报，除非数据报来自代理主机。 当然，整个防火墙系统的安全性取决于代理主机的安全。如果一个入侵者能够访问代理主机，他也可以访问内部网络上的其他主机。 可以说，防火墙与家里的防盗门很相似，它们对普通人来说是一层安全防护，但是没有任何一种防火墙能提供绝对的保护。这就是为什么许多公司建立多层防火墙的原因，当黑客闯过一层防火墙后他只能获取一部分数据，其他的数据仍然被安全地保护在内部防火墙之后。总之，防火墙是增加计算机网络安全的手段之一，只要网络应用存在，防火墙就有其存在的价值。 下一页 返回 上一页 任务3防火墙的概念 7.3.6分布式防火墙 传统的防火墙如包过滤型和代理型，它们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高，目前出现了一种新型防火墙，那就是“分布式防火墙”，英文名为Distributed Firewalls，它是在传统的边界式防火墙基础上开发的。由于其优越的安全防护体系符合未来的发展趋势，所以这一技术一出现便得到许多用户的认可和接受。下面重点介绍这种新型的防火墙技术。 1.分布式防火墙的产生 因为传统的防火墙设置在网络边界，处于内、外部计算机网络之间，所以也称为“边界防火墙”。随着人们对网络安全防护要求的提高，边界防火墙明显已不能满足需求，因为给网络带来安全威胁的不仅是外部网络，更多的是内部网络。但边界防火墙无法对内 下一页 返回 上一页 任务3防火墙的概念 部网络实现有效的保护，除非对每一台主机都安装防火墙，这是不可能的。基于这种需求，一种新型的防火墙技术即分布式防火墙技术产生了。它可以很好地解决边界防火墙的不足，不用为每台主机安装防火墙而能够把防火墙的安全防护系统延伸到网络中的各台主机。一方面有效地保证了用户的投资不会很高，另一方面给网络带来了非常全面的安全防护。 分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。 根据其所需完成的功能，新的防火墙体系结构包含如下部分。 下一页 返回 上一页 任务3防火墙的概念 (1）网络防火墙(Network Firewall)。网络防火墙是用于内部网与外部网之间，以及内部网各子网之间的防护产品。与传统边界防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络间的安全防护体系就显得更加安全可靠。 (2)主机防火墙(Host Firewall)。主机防火墙驻留在主机中，负责策略的实施。它对网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一子网内部工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。 (3)中心管理(Central Managerment)。中心管理服务器负责安全策略的制定、管理、分发及日志的汇总，中心策略是分布式防火墙系统的核心和重要特征之一。 下一页 返回 上一页 任务3防火墙的概念 这是一个防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是以前传统边界防火墙所不具有的新的防火墙的管理功能。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，使其具备可管理性。 2.分布式防火墙的主要特点 综合起来这种新的防火墙技术具有以下几个主要特点。 (1)保护全面性。分布式防火墙把互联网和内部网络均视为“不友好的”，它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些非必要的协议，如HTTP和HTTPS之外的协议通过，从而阻止了非法入侵的发生，同时还具有入侵检测及防护功能