防火墙演示文稿.pptVIP

防火墙分类： 包过滤 代理型防火墙：应用代理型 代理型防火墙：电路代理型 代理型防火墙：NAT 当前第31页\共有57页\编于星期五\16点 代理服务技术 代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。 当前第32页\共有57页\编于星期五\16点 应用代理防火墙 工作在应用层 对所有规则内允许的应用程序作中转转发 牺牲了对应用程序的透明性 当前第33页\共有57页\编于星期五\16点 应用代理防火墙 应用代理防火墙 当前第34页\共有57页\编于星期五\16点 应用代理 应用代理工作原理示意 缓冲文件 应用请求 回复 应用请求 回复 当前第35页\共有57页\编于星期五\16点 应用代理防火墙 应用代理服务器的安全性 屏蔽内网用户与外网的直接通信，提供更严格的检查 提供对协议的控制，拒绝所有没有配置的连接 提供用户级控制，可近一步提供身份认证等信息 当前第36页\共有57页\编于星期五\16点 应用代理的优缺点 优点： 可以隐藏内部网络的信息； 可以具有强大的日志审核； 可以实现内容的过滤； 缺点： 价格高 速度慢 失效时造成网络的瘫痪 当前第37页\共有57页\编于星期五\16点 防火墙分类： 包过滤 代理型防火墙：应用代理型 代理型防火墙：电路代理型 代理型防火墙：NAT 当前第38页\共有57页\编于星期五\16点 电路级代理 电路级代理因此可以同时为不同的服务，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在传输层。 当前第39页\共有57页\编于星期五\16点 应用代理 应用代理工作在应用层，对于不同的服务，必须使用不同的代理软件。 应用代理 内部主机 WEB服务 FTP服务 WEB FTP 当前第40页\共有57页\编于星期五\16点 防火墙演示文稿 当前第1页\共有57页\编于星期五\16点 防火墙 当前第2页\共有57页\编于星期五\16点 本章要求 了解防火墙的定义、发展历史、目的、功能、局限性等 掌握包过滤、应用代理、电路级代理和NAT代理等工作原理、技术特点和实现方式； 掌握防火墙的规则配置方法 熟悉防火墙的常见体系结构 当前第3页\共有57页\编于星期五\16点 本节主要内容 一、防火墙概述 二、防火墙技术分析 三、防火墙部署 当前第4页\共有57页\编于星期五\16点 建筑业中的防火墙 建筑业中的防火墙用在建筑单位间，防止火势的蔓延。 当前第5页\共有57页\编于星期五\16点 IT领域中的防火墙 在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Internet）之间的，用来保护内部网络免受非法访问和破坏的网络安全系统。 当前第6页\共有57页\编于星期五\16点 防火墙功能示意 两个不同网络安全域间通信流的唯一通道，对流过的网络数据进行检查，阻止攻击数据包通过。 安全网域一 安全网域二 当前第7页\共有57页\编于星期五\16点 防火墙主要功能 过滤进、出网络的数据 ; 防止不安全的协议和服务； 管理进、出网络的访问行为 ； 记录通过防火墙的信息内容与活动； 对网络攻击进行检测与告警; 防止外部对内部网络信息的获取 提供与外部连接的集中管理； 当前第8页\共有57页\编于星期五\16点 防火墙不能防范的攻击 来自内部的安全威胁； 病毒 开放应用服务程序的漏洞； 特洛伊木马； 社会工程； 不当配置 当前第9页\共有57页\编于星期五\16点 衡量防火墙三大要求 安全 内部和外部间所有数据必须通过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身要安全 管理 良好的人机交互界面 提供强劲的管理及扩展功能 速度 当前第10页\共有57页\编于星期五\16点 防火墙发展历程 主要经历了三个阶段： 基于路由器的防火墙 基于通用操作系统的防火墙 基于安全操作系统的防火墙 当前第11页\共有57页\编于星期五\16点 防火墙基本结构 防火墙构成四要素： 外部网 内部网 安全策略 技术手段 当前第12页\共有57页\编于星期五\16点 本节主要内容 一、防火墙概述 二、防火墙技术分析 三、防火墙部署 当前第13页\共有57页\编于星期五\16点 防火墙分类 按实现技术分类： 包过滤型 代理型防火墙 按体系结构分类： 双宿/多宿主机防火墙 屏蔽主机防火墙 屏蔽子网防火墙 混合结构 当前第14页\共有57页\编于星期五\16点 包过滤防火墙 包过滤防火墙 在决定能否及如何传送数据包之外，还根据其规则集，看是否应该传送该数据包 普通路由器 当数据包到