网络安全技术及应用 第5版 第8章 防火墙常用技术.pptVIP

* ?讨论思考： （1）软件防火墙、硬件防火墙和芯片防火墙的主要区别是什么？ （2）包过滤防火墙工作在OSI模型的哪一层？ （3）应用代理防火墙为什么比包过滤防火墙的性能要好？ （4）什么是DMZ？有什么作用？ 8.2.2 防火墙的类型 1 企业网络体系结构 企业网络体系结构如图8-8，由三个区域组成： ①边界网络：此网络通过路由器直接面向 Internet，应该以基本网络通信筛选的形式提供初始层面的保护。 ②外围网络：此网络通常称为 DMZ（demilitarized zone network，无戒备区网络）或边缘网络，它将外来用户与 Web 服务器或其他服务链接起来。然后，Web 服务器将通过内部防火墙链接到内部网络。 ③内部网络：内部网络则链接各个内部服务器（如 SQL Server）和内部用户。 8.3 防火墙的主要应用 图8-8 企业网络体系结构 图8-9 使用天网防火墙典型企业结构 以天网防火墙为例，组建的小型企业网络方案如图8-9所示。 8.3 防火墙的主要应用 2 内部防火墙系统应用 内部防火墙用于控制对内网访问和从内网访问。用户类型： 1）完全信任用户：例如组织的雇员，可以是要到外围区域或 Internet 的内部用户、外部用户（如分支办事处工作人员）、远程用户或在家中办公的用户。 2）部分信任用户：例如组织的业务合作伙伴，这类用户的信任级别比不受信任的用户高。但是，其信任级别经常比组织的雇员要低。 3）不信任用户：例如组织公共网站的用户。 8.3 防火墙的主要应用 表 9-1内部防火墙类别选择问题 问题 以此容量实现的防火墙的典型特征 所需的防火墙功能，如安全管理员所指定的 这是所需的安全程度与功能的成本以及增加的安全可能导致的性能的潜在下降之间的权衡。虽然许多组织希望这一容量的防火墙提供最高的安全性，但是有些组织并不愿意接受伴随而来的性能降低。例如，对于容量非常大的非电子商务网站，基于通过使用静态数据包筛选器而不是应用程序层筛选获得的较高级别的吞吐量，可能允许较低级别的安全。 无论是专用物理设备，提供其他功能，还是物理设备上的逻辑防火墙 这取决于所需的性能、数据的敏感性和需要从外围区域进行访问的频率。 设备的管理功能要求如组织的管理体系结构所指定的。 通常使用某种形式的日志，但是通常还需要事件监视机制。您可能在这里选择不允许远程管理以阻止恶意用户远程管理设备。 吞吐量要求很可能由组织内的网络和服务管理员来确定。 这些将根据每个环境而变化，但是设备或服务器中硬件的功能以及要使用的防火墙功能将确定整个网络的可用吞吐量。 可用性要求 也要取决于来自Web 服务器的访问要求。如果它们主要用于处理提供网页的信息请求，则内部网络的通信量将很低。但是，电子商务环境将需要高级别的可用性 (1).内部防火墙规则 堡垒（Bastion）主机，堡垒主机是位于外围网络中的服务器，向内部和外部用户提供服务。堡垒主机包括 Web 服务器和 VPN 服务器。 (2).内部防火墙的可用性 为了增加防火墙的可用性，可以将它实现为具有或不具有冗余组件的单一防火墙设备，或合并了某些类型的故障转移和/或负载平衡机制的防火墙的冗余对。 8.3 防火墙的主要应用 为某些很可能发生故障的组件（如电源）配置备用系统，可改进防火墙的适应性，因为如果第一个组件发生故障，不会对运营造成任何影响。 （1）没有冗余组件的单一防火墙 （2）具有冗余组件的单一防火墙 图8-10没有冗余组件的单一防火墙 图8-11 具有冗余组件的单一防火墙 8.3 防火墙的主要应用 （3）容错防火墙 图8-12 容错防火墙 8.3 防火墙的主要应用 3 外围防火墙系统设计 设置外围防火墙是为了满足组织边界之外用户的需要。这些用户类型包括： 完全信任用户：例如组织的员工，如各个分支办事处工作人员、远程用户或者在家工作的用户。 部分信任用户：例如组织的业务合作伙伴，这类用户的信任级别比不受信任的用户高。但是，这类用户通常又比组织的员工低一个信任级别。 不信任用户：例如组织公共网站的用户。 8.3 防火墙的主要应用 表8-2 外围防火墙类别选择问题 问题 在此位置实现的典型防火墙特征 安全管理员指定的必需防火墙功能 这是一个必需安全性级别与功能成本以及增加安全性可能导致的性能下降之间的平衡问题。虽然很多组织想通过外围防火墙得到最高的安全性，但有些组织不想影响性能。例如，不涉及电子商务的高容量网站，在通过使用静态数据包筛选器而不是使用应用程序层筛选