计算机网络安全基础-防火墙基础.pptxVIP

一个典型的防火墙使用形态进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网防火墙在此处的功能：1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录

防火墙示意图3.分公司网络1.企业内联网Internet2.部门子网

在一个受保护的内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统.防火墙是什么

No.1防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。典型情况：安全网络为企业内部网络，不安全网络为因特网。No.2但防火墙不只用于因特网，也可用于Intranet各部门网络之间（内部防火墙）。例：财务部与市场部之间。

最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。RichKosinski(InternetSecurity公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。防火墙概念（1）

WilliamCheswick和SteveBeilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：01只允许本地安全策略授权的通信信息通过02双向通信信息必须通过防火墙03防火墙本身不会影响信息的流通04防火墙概念（2）

防火墙概念（3）简单的说，网络安全的第一道防线防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。在物理上，防火墙通常是一组硬件设备——路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。如：加密和解密——VPN。010302防火墙的概念（4）

限制数据流通允许数据流通防火墙的实质是一对矛盾（或称机制)：除了非允许不可的都被禁止，安全但不好用。（限制政策）除了非禁止不可的都被允许，好用但不安全。（宽松政策）多数防火墙都在两种之间采取折衷。两种极端的表现形式：防火墙概念（5）

防火墙实现层次

防火墙的基本功能模块应用程序代理包过滤状态检测用户认证NATVPN日志IDS与报警内容过滤

封堵某些禁止的业务4记录进出网络的信息和活动5防火墙的功能1过滤进出网络的数据2管理进出网络的访问行为3对网络攻击进行检测和告警6防火墙的主要功能

Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。Internet防火墙的作用

Internet防火墙可以作为部署NAT(NetworkAddressTranslator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。12Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。3Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。Internet防火墙的作用

防火墙的作用示意图互聯网非法获取内部数据

No.1目前合法的IP地址已经远远不够使用，许多公司内部使用的都是非法的IP地址，无法直接与外界相连。防火墙能