第五章 防火墙技术PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机信息安全
第5章 防火墙技术与NAT
本章内容:
➢防火墙概念及分类
➢包过滤型防火墙
➢代理服务器型防火墙
➢防火墙的设计与创建
Байду номын сангаас
➢基于防火墙的安全网络结构
➢VPN技术原理及应用
01.08.2020
1
整体 概述
一 请在这里输入您的主要叙述内容
二
请在这里输入您的主要 叙述内容
三 请在这里输入您的主要叙述内容
01.08.2020
14
计算机信息安全
学习重点
5.2.1 包过滤型防火墙
网络层是OSI参考
1.工作原理
模型的第几层?
❖ 包过滤器一般安装在路由器上,工作在网络 层(IP)。
❖ 基于单个包实施网络控制,根据所收到的数 据包的源地址、目的地址等参数与访问控制
表比较来实施信息过滤。
❖ 一般容许内网主机直接访问外网,而外网主 机对内网的访问则要受到限制。
1992年; 第五代防火墙:自适应代理技术,NAI公司,1998年。
01.08.2020
13
计算机信息安全
5.2 防火墙的类型
❖ 尽管防火墙的发展经过了将近20年,但是按照防火 墙对内外来往数据的处理方法,大致可以将防火墙 分为两大体系:
(1)包过滤型;
(2)代理服务器型;
❖ 前者以以色列的Checkpoint防火墙和美国Cisco公司 的PIX防火墙为代表,后者以美国NAI公司的 Gauntlet防火墙为代表。
01.08.2020
4
计算机信息安全
5.1 网络防火墙概述
❖ 网络防火墙 :在可信和不可信网络间设置的 保护装置,用于保护内部资源免遭非法入侵。
Internet 不可信网络
服务器
内部网 可信网络
01.08.2020
5
计算机信息安全
作用: ➢ 防火墙是一种由计算机硬件和软件组成的一个或
一组系统,用于增强内部网络和Internet之间的访 问控制。它可通过监测、限制、更改跨越防火墙的 数据流,尽可能地对外部屏蔽网络内部的信息、结 构和运行状况,以此来实现网络的安全保护。 ➢ 除此以外,防火墙也可以用来实现路由、VPN连接、 负载均衡以及NAT地址转换等。
01.08.2020
6
计算机信息安全
5.1.1 网络防火墙基本概念
❖ 主机:与网络系统相连的计算机系统。 ❖ 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又
是内部网络用户的主要连接点。 ❖ 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接
口的计算机系统。 ❖ 包:在互联网上进行通信的基本上信息单位。
❖ 防火墙作为一个防止不良现象发生的警 察,能执行和强化网络的安全策略。
01.08.2020
11
计算机信息安全
防火墙的局限性
❖ 没有万能的网络安全技术,防火墙也不例外。防火 墙有以下三方面的局限:
❖ 防火墙不能防范网络内部的攻击。比如:防火墙无 法禁止变节者或内部间谍将敏感数据拷贝到软盘上。
❖ 防火墙也不能防范那些伪装成超级用户或诈称新雇 员的黑客们劝说没有防范心理的用户公开其口令, 并授予其临时的网络访问权限。
5.2.2 IP级包过滤型防火墙
1. 概述
IP级包过滤又称为动态包过滤,它工作在传 输层,对每一报文根据报头进行过滤,通过预定 义规则对报文进行操作。
规则定义在转发控制表中,因产品不同控制 表格式不同,这里讨论抽象的过滤规则。
01.08.2020
17
计算机信息安全
5.2.2 IP级包过滤型防火墙
❖ 报文遵循自上至下的次序运用每一条规则, 直到遇到与其相匹配的规则为止。
防火墙 网络
双宿主主机
01.08.2020 服务器
7
计算机信息安全
❖ 包过滤:设备对进出网络的数据流(包)进行有选择 的控制与操作。通常是对从外部网络到内部网络的包 进行过滤。
❖ 参数网络:为了增加一层安全控制,在内部网与外部 网之间增加的一个网络,有时也称为非军事区,即 DMZ(Demilitarized Zone)。
❖ 代理服务器:代表内部网络用户与外部服务器进行信 息交换的计算机(软件)系统。
01.08.2020
DMZ
私人网络
防御主机
网络
8
计算机信息安全
为什么需要防火墙?
01.08.2020
9
计算机信息安全
5.1.2 网络防火墙的目的与作用
1. 构建网络防火墙的主要目的 ❖ 限制某些访问者进入一个被严格控制的点。 ❖ 防止进攻者接近防御设备。 ❖ 限制某些访问者离开一个被严格控制的点。 ❖ 检查、筛选、过滤和屏蔽信息流中的有害服务,防
❖ 防火墙不能防止传送己感染病毒的软件或文件,不 能期望防火墙去对每一个文件进行扫描,查出潜在 的病毒。
01.08.2020
12
计算机信息安全
5.2 防火墙的类型
防火墙的演变: 第一代防火墙:包过滤,路由器; 第二代防火墙:(电路层)代理防火墙,NEC公司,
1989年; 第三代防火墙:TIS防火墙套件,美国防部; 第四代防火墙:状态检测技术,USC信息科学院,
计算机信息安全
第一部分 防火墙技术与应用
学习重点:
➢了解网络防火墙是什么,有什么用? ➢掌握包过滤防火墙的规则怎么建立的,
有什么需要注意的地方? ➢掌握代理服务器型防火墙工作的原理及
步骤。
01.08.2020
3
计算机信息安全
5.1 网络防火墙概述
❖ 防火墙:防火墙的本义原是指古代人们房屋 之间修建的墙,这道墙可以防止火灾发生的 时候蔓延到别的房屋。
❖ 操作方式有:转发、丢弃、报错、备忘等。 ❖ 根据不同实现方式,报文过滤可在进入或者
离开防火墙时进行。
01.08.2020
18
计算机信息安全
学习难点
防火墙规则制订实例
止对计算机系统进行蓄意破坏。
01.08.2020
卫星发射中心 防火墙
10
计算机信息安全
2.网络防火墙的主要作用
❖ 有效地收集和记录internet上活动和网络 误用情况。
❖ 能有效隔离网络中的多个网段,防止一 个网段的问题传播到另外网段。
❖ 防火墙作为一个安全检查站,能有效地 过滤、筛选和屏蔽大部份有害的信息和 服务。
01.08.2020
15
计算机信息安全
2.优缺点 优点:简单、方便、速度快、透明性好, 对网络性能影响不大。 缺点:缺乏用户日志和审计信息,缺乏用 户论证机制,不具备审核管理,且过滤 规则的完备性难以得到检验,复杂过滤 规则的管理也比较困难。
包过滤型防火墙的安全性较差!
01.08.2020
16
计算机信息安全
第5章 防火墙技术与NAT
本章内容:
➢防火墙概念及分类
➢包过滤型防火墙
➢代理服务器型防火墙
➢防火墙的设计与创建
Байду номын сангаас
➢基于防火墙的安全网络结构
➢VPN技术原理及应用
01.08.2020
1
整体 概述
一 请在这里输入您的主要叙述内容
二
请在这里输入您的主要 叙述内容
三 请在这里输入您的主要叙述内容
01.08.2020
14
计算机信息安全
学习重点
5.2.1 包过滤型防火墙
网络层是OSI参考
1.工作原理
模型的第几层?
❖ 包过滤器一般安装在路由器上,工作在网络 层(IP)。
❖ 基于单个包实施网络控制,根据所收到的数 据包的源地址、目的地址等参数与访问控制
表比较来实施信息过滤。
❖ 一般容许内网主机直接访问外网,而外网主 机对内网的访问则要受到限制。
1992年; 第五代防火墙:自适应代理技术,NAI公司,1998年。
01.08.2020
13
计算机信息安全
5.2 防火墙的类型
❖ 尽管防火墙的发展经过了将近20年,但是按照防火 墙对内外来往数据的处理方法,大致可以将防火墙 分为两大体系:
(1)包过滤型;
(2)代理服务器型;
❖ 前者以以色列的Checkpoint防火墙和美国Cisco公司 的PIX防火墙为代表,后者以美国NAI公司的 Gauntlet防火墙为代表。
01.08.2020
4
计算机信息安全
5.1 网络防火墙概述
❖ 网络防火墙 :在可信和不可信网络间设置的 保护装置,用于保护内部资源免遭非法入侵。
Internet 不可信网络
服务器
内部网 可信网络
01.08.2020
5
计算机信息安全
作用: ➢ 防火墙是一种由计算机硬件和软件组成的一个或
一组系统,用于增强内部网络和Internet之间的访 问控制。它可通过监测、限制、更改跨越防火墙的 数据流,尽可能地对外部屏蔽网络内部的信息、结 构和运行状况,以此来实现网络的安全保护。 ➢ 除此以外,防火墙也可以用来实现路由、VPN连接、 负载均衡以及NAT地址转换等。
01.08.2020
6
计算机信息安全
5.1.1 网络防火墙基本概念
❖ 主机:与网络系统相连的计算机系统。 ❖ 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又
是内部网络用户的主要连接点。 ❖ 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接
口的计算机系统。 ❖ 包:在互联网上进行通信的基本上信息单位。
❖ 防火墙作为一个防止不良现象发生的警 察,能执行和强化网络的安全策略。
01.08.2020
11
计算机信息安全
防火墙的局限性
❖ 没有万能的网络安全技术,防火墙也不例外。防火 墙有以下三方面的局限:
❖ 防火墙不能防范网络内部的攻击。比如:防火墙无 法禁止变节者或内部间谍将敏感数据拷贝到软盘上。
❖ 防火墙也不能防范那些伪装成超级用户或诈称新雇 员的黑客们劝说没有防范心理的用户公开其口令, 并授予其临时的网络访问权限。
5.2.2 IP级包过滤型防火墙
1. 概述
IP级包过滤又称为动态包过滤,它工作在传 输层,对每一报文根据报头进行过滤,通过预定 义规则对报文进行操作。
规则定义在转发控制表中,因产品不同控制 表格式不同,这里讨论抽象的过滤规则。
01.08.2020
17
计算机信息安全
5.2.2 IP级包过滤型防火墙
❖ 报文遵循自上至下的次序运用每一条规则, 直到遇到与其相匹配的规则为止。
防火墙 网络
双宿主主机
01.08.2020 服务器
7
计算机信息安全
❖ 包过滤:设备对进出网络的数据流(包)进行有选择 的控制与操作。通常是对从外部网络到内部网络的包 进行过滤。
❖ 参数网络:为了增加一层安全控制,在内部网与外部 网之间增加的一个网络,有时也称为非军事区,即 DMZ(Demilitarized Zone)。
❖ 代理服务器:代表内部网络用户与外部服务器进行信 息交换的计算机(软件)系统。
01.08.2020
DMZ
私人网络
防御主机
网络
8
计算机信息安全
为什么需要防火墙?
01.08.2020
9
计算机信息安全
5.1.2 网络防火墙的目的与作用
1. 构建网络防火墙的主要目的 ❖ 限制某些访问者进入一个被严格控制的点。 ❖ 防止进攻者接近防御设备。 ❖ 限制某些访问者离开一个被严格控制的点。 ❖ 检查、筛选、过滤和屏蔽信息流中的有害服务,防
❖ 防火墙不能防止传送己感染病毒的软件或文件,不 能期望防火墙去对每一个文件进行扫描,查出潜在 的病毒。
01.08.2020
12
计算机信息安全
5.2 防火墙的类型
防火墙的演变: 第一代防火墙:包过滤,路由器; 第二代防火墙:(电路层)代理防火墙,NEC公司,
1989年; 第三代防火墙:TIS防火墙套件,美国防部; 第四代防火墙:状态检测技术,USC信息科学院,
计算机信息安全
第一部分 防火墙技术与应用
学习重点:
➢了解网络防火墙是什么,有什么用? ➢掌握包过滤防火墙的规则怎么建立的,
有什么需要注意的地方? ➢掌握代理服务器型防火墙工作的原理及
步骤。
01.08.2020
3
计算机信息安全
5.1 网络防火墙概述
❖ 防火墙:防火墙的本义原是指古代人们房屋 之间修建的墙,这道墙可以防止火灾发生的 时候蔓延到别的房屋。
❖ 操作方式有:转发、丢弃、报错、备忘等。 ❖ 根据不同实现方式,报文过滤可在进入或者
离开防火墙时进行。
01.08.2020
18
计算机信息安全
学习难点
防火墙规则制订实例
止对计算机系统进行蓄意破坏。
01.08.2020
卫星发射中心 防火墙
10
计算机信息安全
2.网络防火墙的主要作用
❖ 有效地收集和记录internet上活动和网络 误用情况。
❖ 能有效隔离网络中的多个网段,防止一 个网段的问题传播到另外网段。
❖ 防火墙作为一个安全检查站,能有效地 过滤、筛选和屏蔽大部份有害的信息和 服务。
01.08.2020
15
计算机信息安全
2.优缺点 优点:简单、方便、速度快、透明性好, 对网络性能影响不大。 缺点:缺乏用户日志和审计信息,缺乏用 户论证机制,不具备审核管理,且过滤 规则的完备性难以得到检验,复杂过滤 规则的管理也比较困难。
包过滤型防火墙的安全性较差!
01.08.2020
16
计算机信息安全