《网络安全技术与实践》第10章 防火墙技术.pptVIP

*第10章防火墙技术目录10.2防火墙类型210.3防火墙的主要应用310.4防火墙安全应用实验410.1防火墙概述110.5本章小结5上海市精品课程网络安全技术教学目标●掌握防火墙的概念●掌握防火墙的功能●了解防火墙的不同分类●掌握SYNFlood攻击的方式●掌握用防火墙阻止SYNFlood攻击的方法重点重点教学目标上海市精品课程网络安全技术10.1.1防火墙的概念防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。10.1.1防火墙的概念根据已经设置好的安全规则，防火墙决定是允许（allow）或者拒绝（deny）内部网络和外部网络的连接10.1.2防火墙的功能防火墙的功能建立一个集中的监视点隔绝内、外网络，保护内部网络强化网络安全策略对网络存取和访问进行监控审计实现网络地址变换的理想平台10.1.3防火墙的主要优点（1）防火墙能强化安全策略每时每刻在Internet上都有上百万人在收集信息、交换信息，防火墙执行站点的安全策略，仅仅容许认可的和符合规则的请求通过。（2）防火墙能有效地记录Internet上的活动因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为唯一的访问点，防火墙能在被保护的网络和外部网络之间进行记录（3）防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。（4）防火墙是一个安全策略的检查站所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。10.1.3防火墙的主要缺陷与不足防火墙的主要缺陷与不足不能防范恶意的知情者不能防范不通过它的连接不能防御全部的威胁防火墙不能防范病毒?讨论思考（1）什么是防火墙？现实生活中有没有类似于防火墙功能的生活现象？（2）使用防火墙构建企业网络体系后，管理员是否可以高枕无忧？（3）能够提出一种思路，来快速响应网络攻击行为？10.2防火墙类型按照软硬件形式分类软件防火墙硬件防火墙芯片级防火墙按照技术分类包过滤防火墙应用代理防火墙应用网关防火墙电路级防火墙状态检测防火墙包过滤防火墙包过滤设备通常是根据IP、TCP或UDP包头信息如源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过。包过滤防火墙-静态无状态数据包过滤也常被称作是第一代静态包过滤类型防火墙。无状态数据包过滤在做出是否丢弃一个数据包的决定时，并不关心连接的状态。但是无状态数据包过滤在需要完全阻塞从子网络和其他网络过来的通信时非常有用，并且数据包转发速度极快。过滤方法是建立规则集，这包含如下六个方面：①按IP数据包报头标准过滤②按照TCP或UDP端口号过滤③按照ICMP消息类型过滤④按段标记过滤⑤按ACK标记过滤⑥可疑的入站数据包的过滤包过滤防火墙-动态动态包过滤动态包过滤试图将数据包的上下文联系起来，建立一种基于状态的包过滤机制。对于新建的应用连接，防火墙检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，这些相关信息构成一个状态表。这样，当一个新的数据包到达，如果属于已经建立的连接，则检查状态表，参考数据流上下文决定当前数据包通过与否；如果是新建连接，则检查静态规则表。动态包过滤通过在内存中动态地建立和维护一个状态表，数据包到达时，对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷，使得防火墙的安全控制力度更为细致包过滤防火墙-其他技术深度包检测深入检测数据包有效载荷，执行基于应用层的内容过滤，以此提高系统应用防御能力。应用防御的技术问题主要包括：①需要对有效载荷知道得更清楚；②也需要高速检查它的能力。流过滤技术以状态包过滤的形态实现应用层的保护能力；通过内嵌的专门实现的TCP／IP协议栈，实现了透明的应用信息过滤机制。流过滤技术的关键在于其架构中的专用TCP／IP协议栈，这个协议栈是一个标准的TCP协议的实现，依据TCP协议的定义对出入防火墙的数据包进行了完整的重组，重组