第九章-防火墻技術(shù)課件

第5章防火墻技術(shù)防火墻技術(shù)

3.1防火墻技術(shù)概述3.2防火墻技術(shù)3.3防火墻設(shè)計(jì)實(shí)例本章學(xué)習(xí)目標(biāo) （1）了解防火墻的定義、發(fā)展簡(jiǎn)史、目的、功能、局限性及其發(fā)展動(dòng)態(tài)和趨勢(shì)。（2）掌握包過濾防火墻和和代理防火墻的實(shí)現(xiàn)原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式；熟悉防火墻的常見體系結(jié)構(gòu)。（3）熟悉防火墻的產(chǎn)品選購和設(shè)計(jì)策略。返回本章首頁內(nèi)容攻擊的風(fēng)險(xiǎn)日趨增長(zhǎng)198019902000網(wǎng)絡(luò)分層物理層攻擊竊取計(jì)算機(jī)磁帶，磁盤，搭線竊聽，電子信號(hào)的檢測(cè)和感應(yīng)協(xié)議層攻擊盜用口令，欺騙，操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的偵測(cè)內(nèi)容攻擊蠕蟲，病毒，可執(zhí)行內(nèi)容、特洛伊木馬/代理的攻擊物理層數(shù)據(jù)鏈路層表示層應(yīng)用層會(huì)話層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)安全防護(hù)體系構(gòu)架網(wǎng)絡(luò)安全評(píng)估安全防護(hù)網(wǎng)絡(luò)安全服務(wù)系統(tǒng)漏洞掃描網(wǎng)絡(luò)管理評(píng)估病毒防護(hù)體系網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)保密網(wǎng)絡(luò)訪問控制應(yīng)急服務(wù)體系安全技術(shù)培訓(xùn)數(shù)據(jù)恢復(fù)5.1防火墻技術(shù)概述 防火墻的定義防火墻的發(fā)展簡(jiǎn)史設(shè)置防火墻的目的和功能返回本章首頁防火墻的功能1.訪問控制2.對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)3.防止內(nèi)部信息的外泄4.支持VPN功能5.支持網(wǎng)絡(luò)地址轉(zhuǎn)換對(duì)防火墻的兩大需求保障內(nèi)部網(wǎng)安全保證內(nèi)部網(wǎng)同外部網(wǎng)的連通3.1.1防火墻的定義 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。

它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。防火墻的發(fā)展簡(jiǎn)史

第一代防火墻：采用了包過濾（PacketFilter）技術(shù)。第二代防火墻：應(yīng)用層防火墻的初步結(jié)構(gòu)。第三代防火墻：1992年，開發(fā)出了基于動(dòng)態(tài)包過濾技術(shù)的第四代防火墻。第四代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)。3.1.4防火墻的局限性 （1）防火墻防外不防內(nèi)。（2）防火墻不能防范不通過它的連接。（3）很難為用戶在防火墻內(nèi)外提供一致的安全策略。（4）防火墻只實(shí)現(xiàn)了粗粒度的訪問控制。（5）防火墻對(duì)病毒的訪問控制有局限。返回本節(jié)3.2防火墻技術(shù) 3.2.1防火墻的技術(shù)分類3.2.2防火墻的主要技術(shù)及實(shí)現(xiàn)方式3.2.3防火墻的常見體系結(jié)構(gòu)返回本章首頁3.2.1防火墻的技術(shù)分類 1．包過濾防火墻2．應(yīng)用網(wǎng)關(guān)（代理服務(wù)）3．混合防火墻1．包過濾防火墻（Packetfiltering）（1）數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、動(dòng)態(tài)包過濾。

（2）包過濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、一個(gè)過濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過濾對(duì)用戶透明、過濾路由器速度快、效率高。

簡(jiǎn)單包過濾防火墻的工作原理包過濾防火墻的工作流程過濾規(guī)則-ACL包過濾規(guī)則一般基于部分的或全部的包頭信息：1．IP協(xié)議類型2．IP源地址3．IP目標(biāo)地址4．TCP（UDP）源端口號(hào)5．TCP（UDP）目標(biāo)端口號(hào)6．TCPACK標(biāo)識(shí)，指出這個(gè)包是否是聯(lián)接中的第一個(gè)包，是否是對(duì)另一個(gè)包的響應(yīng)。優(yōu)點(diǎn)：保護(hù)整個(gè)網(wǎng)絡(luò)；對(duì)用戶透明；可用路由器，不需要其他設(shè)備。缺點(diǎn)：1.包過濾的一個(gè)重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的包和壞的包。2.包過濾規(guī)則難配置。3.新的協(xié)議的威脅。4.IP欺騙包過濾防火墻的特點(diǎn)應(yīng)用方向動(dòng)作源地址源端口目的地址目的端口協(xié)議進(jìn)站允許192.168.6.0/24>1023any80TCP進(jìn)站拒絕any

any

E0端口

默認(rèn)安全策略沒有明確禁止的行為都是允許的

舉例：華為的ACL沒有明確允許的行為都是禁止的舉例：思科的ACL代理防火墻（應(yīng)用層網(wǎng)關(guān)型防火墻）代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且，還可用來保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。2．代理防火墻的原理

ProxyServer代理防火墻的原理代理防火墻的工作過程代理技術(shù)的優(yōu)點(diǎn)

1）代理易于配置。

2）代理能生成各項(xiàng)記錄。3）代理能靈活、完全地控制進(jìn)出流量、內(nèi)容。

4）代理能過濾數(shù)據(jù)內(nèi)容。5）代理能為用戶提供透明的加密機(jī)制。6）代理可以方便地與其他安全手段集成。

代理技術(shù)的缺點(diǎn)1）代理速度較路由器慢。2）代理對(duì)用戶不透明。3）對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器。4）代理服務(wù)不能保證免受所有協(xié)議弱點(diǎn)的限制。5）代理防火墻提供應(yīng)用保護(hù)的協(xié)議范圍是有限的

動(dòng)態(tài)包過濾防火墻的工作原理自適應(yīng)代理防火墻

篩選路由器多宿主主機(jī)被屏蔽主機(jī)被屏蔽子網(wǎng)防火墻構(gòu)造體系概念l

堡壘主機(jī)(Bastionhost):堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，堡壘主機(jī)為網(wǎng)絡(luò)之間的通信提供了一個(gè)阻塞點(diǎn)，也就是說如果沒有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問。可以配置成過濾型、代理型或混合型。l

雙宿主主機(jī)(Dual-homedHost):有兩個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng)，一個(gè)接口接內(nèi)部網(wǎng)，一個(gè)接口接外部網(wǎng)。DMZ(DemilitarizedZone，非軍事區(qū)或者?；饏^(qū))：在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個(gè)子網(wǎng)?？梢詫?shí)現(xiàn)避免內(nèi)外網(wǎng)用戶的直接接觸。內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過濾器進(jìn)行包過濾篩選路由器雙宿主主機(jī)--Dual-HomedHostFirewall被屏蔽主機(jī)

(ScreenedHostFirewall)被屏蔽子網(wǎng)

(ScreenedsubnetFirewall)小型網(wǎng)絡(luò)解決方案

典型的網(wǎng)絡(luò)安全解決方案雙機(jī)熱備

1、字體安裝與設(shè)置如果您對(duì)PPT模板中的字體風(fēng)格不滿意，可進(jìn)行批量替換，一次性更改各頁面字體。在“開始”選項(xiàng)卡中，點(diǎn)擊“替換”按鈕右側(cè)箭頭，選擇“替換字體”。（如下圖）在圖“替換”下拉列表中選擇要更改字體。（如下圖）在“替換為”下拉列表中選擇替換字體。點(diǎn)擊“替換”按鈕，完成。382、替換模板中的圖片模板中的圖片展示頁面，您可以根據(jù)需要