密码编码学与网络安全（第五版） 向金海 17-防火墙技术.pptxVIP

防火墙技术;主要内容;防火墙概述;防火墙的设计目标;所采用的技术;防火墙的功能;防火墙的局限性;防火墙的局限性;防火墙的局限性;防火墙发展史及分类;防火墙发展史;防火墙的分类;包过滤路由器;· 静态包过滤;· 动态包过滤;代理防火墙（应用级网关）;· 代理防火墙 ·代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的 防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。;· 自适应代理防火墙 ·自适应代理技术是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。;电路级网关;包过滤技术;包过滤技术的原理;IPv4;ICMP报文;TCP头部;UDP头部;包过滤的依据;依赖于服务的过滤;独立于服务的过滤;· 源路由攻击;推荐的过滤规则;包过滤路由器的优点;包过滤路由器的局限性;代理服务技术;代理服务技术;应用层网关;应用层上的过滤;应用层网关;代理服务的优点;代理服务的缺点;包过滤与代理的结合;· 代理服务器及防火墙软件：;电路层网关(Circuit Gateway);电路层网关;一个例子;复合型防火墙;防火墙的体系结构;屏蔽路由器;单宿主机网关;单宿主机网关;双宿主机网关;用一台装有两块网卡的计算机作为堡垒主机 （Bastion host），两块网卡分别与内部网和外部网（或屏蔽路由器）相连，每块网卡有各自的IP地址。堡垒主机上运行防火墙软件——代理服务（应用层网关）。 优点：与屏蔽路由器相比，提供日志以备检查 缺点：双宿主机易受攻击;屏蔽子网网关;屏蔽子网网关中，添加周边网络进一步地把内部网络与Internet隔离开。 通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。 要想侵入用这种类型的体系结构构筑的内部网络，侵袭者必须通过外部路由器，堡垒主机，内部路由器三道关口。;· 周边网络（非军事化区、隔离区（DMZ）） ·周边网络是另一个安全层，是在外部网络与内部网络之间的附加的网络。;堡垒主机：接受来自外界连接的主要入口。 作用：;· 出站服务按如下任一方法处理：;· 外部路由器：;内部路由器（阻塞路由器） ·保护内部的网络使之免受Internet和周边子网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。 内部路由器所允许的在周边网和内部网之间服务可不同于内部路由器所允许的在外部和内部网之间的服务。 限制堡垒主机与内部网之间的通信可减少堡垒机被攻破时对内部网的危害。;内部防火墙问题;防火墙的发展趋势;防火墙产品介绍;天网防火墙;天网防火墙;工具条：点击上面的按钮来导入，增加，修改，删除规则。由于规则判断是由上而下的，可以通过点击调“规则上下移动”按钮调整规则的顺序，当调整好顺序后，可按保存按钮保存修改。当规则增加或修改后，为了让这些规则生效，还要点击“应用新规则”按钮。 规则列表 ：列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。 在列表的左边为该规则是否有效的标志，标记为钩表示改规则有效，否则表示无效。当改变这些标志后，按保存键。;天网防火墙;天网防火墙;数据访问控制;Thanks!