《网络安全技术与应用》02 防火墙技术.pptxVIP

防火墙技术随着信息技术的快速发展，特别是各类新技术、新业态、新应用的不断涌现，给社会发展、百姓生活带来了极大“红利”，但另一方面也给网络安全带来了新的挑战。作为网络安全防护的第一道防线，防火墙扮演着非常重要的角色。本章主要讲述防火墙的基本概念、发展历史、安全区域、安全策略以及相应的控制原理等基础理论和相关知识。学完本课程后，您将能够：描述防火墙的功能、发展历史熟悉防火墙的分类和工作模式理解防火墙的安全区域理解防火墙的状态检测技术和会话表理解防火墙的ASPF技术和Server-map表防火墙概述防火墙简介防火墙功能防火墙发展历史防火墙分类防火墙工作模式防火墙技术原理ASPF技术原理防火墙简介在通信领域，防火墙是网络中的一道安全屏障，阻断来自外部网络的威胁和入侵，保护内部网络的安全。防火墙是一个由计算机硬件和软件组成的系统，通常部署于网络边界，位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）。它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，即防火墙认为在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。防火墙概述防火墙简介防火墙功能防火墙发展历史防火墙分类防火墙工作模式防火墙技术原理ASPF技术原理防火墙功能防火墙可以实现的功能如下：隔离不同安全级别的网络；实现不同安全级别网络之间的访问控制；用户身份认证；实现远程接入功能；实现数据加密及虚拟专用网业务；执行网络地址转换；其他安全功能。Internet用户出差员工合作伙伴分支机构2互联网出口防火墙内网接入区防火墙分支机构1DMZ核心交换机专线RADIUSControllereSight……日志中心沙箱数据中心出口防火墙业务服务区2业务服务区1业务服务区3数据中心防火墙概述防火墙简介防火墙功能防火墙发展历史防火墙分类防火墙工作模式防火墙技术原理ASPF技术原理防火墙发展历史随着科技的进步，防火墙的发展历史经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和越来越多的需求不断推动着防火墙的更新。根据发展历史可以将防火墙分为：包过滤防火墙状态检测防火墙下一代防火墙下一代防火墙 NGFW状态检测UTM包过滤应用代19952004~200520091990~1991防火墙概述防火墙简介防火墙功能防火墙发展历史防火墙分类防火墙工作模式防火墙技术原理ASPF技术原理包过滤防火墙包过滤防火墙，工作在网络层，通过检查所流经单个数据包的源/目的地址、所承载的上层协议、源/目的端口、传递方向等信息来决定是否允许此数据包穿过防火墙。核心是通过配置访问控制列表ACL实施数据包的过滤。包过滤防火墙的设计简单，非常易于实现，而且价格便宜。但随着ACL复杂度和长度的增加，其过滤性能呈指数下降趋势；且包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。代理型防火墙代理型防火墙，主要作用于网络的应用层。实质是把内部网络和外部网络用户之间直接进行的业务由防火墙代理接管。代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。但软件实现限制了处理速度，易于遭受拒绝服务攻击。同时，需要针对每一种协议开发应用层代理，开发周期长，而且升级很困难。状态检测防火墙状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态防火墙通过检测基于TCP/UDP连接的连接状态，动态地决定报文是否可以通过防火墙。在状态防火墙中，会维护一个以五元组为Key值的会话表项，后续数据包通过匹配会话表项，防火墙就可以决定哪些是合法访问，哪些是非法访问。状态检测防火墙虽然工作在协议栈较低层，但它检测所有应用层的数据包，从中提取有用信息（如IP地址、端口号等），这样安全性得到很大提高。同时，状态检测防火墙只对一个连接的首包进行包过滤检查，后续数据包直接匹配会话表转发，执行效率明显提高。防火墙概述防火墙简介防火墙功能防火墙发展历史防火墙分类防火墙工作模式防火墙技术原理ASPF技术原理UntrustTrustHostHostGE1/0/1/30GE1/0//30Intranet路由器交换机防火墙路由模式如果防火墙作为三层设备连接不同的区域，则表示防火墙工作在路由模式。此种组网方式，防火墙可支持更多的安全特性（如NAT 、UTM等），但需要修改原有网络的拓扑结构。InternetUntrustTrustHostHostGE0/0/0/30GE0/0/0/30IntranetGE1/0/2GE1/0/1路由器交换机防火墙透明模式