防火墙技术原理演示文稿
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的功能
• 基本功能
– 地址转换 – 访问控制 – VLAN支持 – 带宽管理(QoS) – 入侵检测和攻击防御 – 用户认证 – IP/MAC绑定 – 动态IP环境支持 – 数据库长连接应用支持 – 路由支持 – ADSL拨号功能 – SNMP网管支持 – 日志审计 – 高可用性
• 扩展功能
Host C
Host D
192.168.1.21 192.168.1.25
受保护网络
Eth0:
IP报头
数据
101.211.23.1
IP报头
数据
Eth2: 192.168.1.23
防火墙
❖ 隐藏了内部网络的结构 ❖ 内部网络可以使用私有IP地址 ❖ 公开地址不足的网络可以使用这种方式提供IP复用功能
199.168.1.2 199.168.1.3 199.168.1.4
安全域2 Host C Host D
Source Host A Host B
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。
WWW
FTP
MAP (地址/端口映射)
199.168.1.5 DNS
❖ 公开服务器可以使用私有地址 ❖ 隐藏内部网络的结构
199.168.1.6 202.102.1.3
MAP 199.168.1.2:80 TO 202.102.1.3:80 MAP 199.168.1.3:21 TO 202.102.1.3:21 MAP 199.168.1.5:25 TO 202.102.1.3:25 MAP 199.168.1.4:53 TO 202.102.1.3:53
▪ 防火墙厂商具有操作系统的源代码,并可实现安全内核
▪ 功能强大,安全性很高 ▪ 易于使用和管理 ▪ 是目前广泛应用的防火墙产品
目录
❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖ 防火墙体系结构 ❖ 防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
目录
❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
防火墙的作用
• 集中的访问控制 • 集中的加密保护 • 集中的认证授权 • 集中的内容检查 • 集中的病毒防护 • 集中的邮件过滤 • 集中的流量控制 • 集中的安全审计
上班时间可以访 问公司的网络
hhtttptp:/://2/10929.1.10628.1.1.3.2
Internet
12.4.1.5
防火墙的基本访问控制功能
Access list 192.168.1.3 to 202.2.33.2 Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 block Access default pass
防火墙工具套
• 软件防火墙的初级形式,具有审计和告警功能 • 对数据包的访问控制过滤通过专门的软件实现 • 与第一代防火墙相比,安全性提高了,价格降低了
基于通用操作 系统的防火墙
• 是批量上市的专用软件防火墙产品 • 安装在通用操作系统之上 • 安全性依靠软件本身和操作系统本身的整体安全
基于安全操作 系统的防火墙
防火墙技术原理演示文稿
防火墙技术原理
目录
❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
安全域1 Host A Host B
防火墙的概念
两个安全域之间通 信流的唯一通道
– 防病毒 – VPN
• IPSEC VPN • PPTP/L2TP
地址转换 (NAT)
源地址:101.211.23.1 目地址:202.102.93.54
Host A
202.102.93.54
Internet
源地址:192.168.1.21 目地址:202.102.93.54
101.211.23.2
防火墙的检测与过滤技术
应用层 Data
传输层 Segment
IP层 Packet
网络接 口层
Bit Flow
Frame
1. 包过滤(Packet filtering):工作在网络层, 仅根据数据包头中的IP地址、端口号、协议类 型等标志确定是否允许数据包通过。
2. 应用代理(Application Proxy):工作在应用 层,通过编写不同的应用代理程序,实现对应 用层数据的检测和分析。
规则匹配成功
❖ 基于源IP地址 ❖ 基于目的IP地址 ❖ 基于源端口 ❖ 基于目的端口 ❖ 基于时间 ❖基于用户 ❖ 基于流量 ❖ 基于文件 ❖ 基于网址 ❖ 基于MAC地址
Host C Host D
时间控制策略
Internet
在防火墙上制定基于 时间的访问控制策略
Host C Host D
上班时间不允许 访问Internet
3. 状态检测(Stateful Inspection):工作在 2~4层,访问控制方式与1同,但处理的对象不 是单个数据包,而是整个连接,通过规则表和 连接状态表,综合判断是否允许数据包通过。
4. 完全内容检测(Compelete Content Inspection):工作在2~7层,不仅分析数据包 头信息、状态信息,而且对应用层协议进行还 原和内容分析,有效防范混合型安全威胁。
百度文库
目录
❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
基于路由器的防火墙
防火墙的发展历程
• 在路由器中通过ACL规则来实现对数据包的控制; • 过滤判断依据:地址、端口号、协议号等特征