QCCP-PS-NGFW-01-防火墙基础知识
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
下一代防火墙(NGFW)第一章防火墙基础知识
概要
本章节主要学习防火墙基础知识,学习防火墙发展历史,理解防火墙的核心功能,以及安全域的基本理论。
学习内容
⏹了解防火墙产生原因
⏹理解防火墙定义
⏹了解防火墙的发展历史
⏹了解防火墙的主要性能
⏹理解防火墙的两个核心功能
⏹掌握安全域的基本概念
⏹理解下一代防火墙产品架构的特点
CONTENTS ⏹防火墙概述
⏹防火墙的前世今生
⏹安全域和边界防御思想⏹防火墙产品标准
⏹下一代防火墙产品架构
(1)持续演进的网络安全问题?
(2)如何对网络边界进行防护?防火墙产生的原因
恶意木马程序
计算机病毒
网
络
安
全
威
胁
威胁网络边界防护
外
部
外
边
界
外部
边界
内部
边界
防火墙(Firewall)是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
GB/T 20281—2015《信息安全技术防火墙安全技术要求和测试评价方法》中对防火墙定义为,部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备应用层协议分析、控制及内容检测等功能,能够适用于IPv4、IPv6等不同的网络环境的安全网关产品。
两个安全域之间通信流的唯一通道
安全域1
Host A
Host B
安全域2
Host C
Host D
UDP
Block
Host C
Host B
TCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决
定进出网络的行为
(1)“隔离”:在不同信任级别的网络之间砌“墙”;
(2
)“访问控制”:在墙上开“门”并派驻守卫,按照安全策略来进行检查和放通。
DMZ
研发部销售部市场部
数据中心
移动办公用户
分支机构
分支机构一个典型的企业网防火墙部署位置
功能点描述
基础组网和防护功能防火墙可以限制非法用户进入内部网络,比如黑客、网络破坏者等,禁止存在安全脆弱性的服务和未授权的通信数据包进出网络,并对抗各种攻击。
记录监控网络存取与
访问防火墙可以收集关于系统和网络使用和误用的信息并做出日志记录。通过防火墙可以很方便地监视网络的安全性,并在异常时给出报警提示。
限定内部用户访问特
殊站点防火墙通过用户身份认证来确定合法用户,并通过事先确定的完全检查策略,来决定内部用户可以使用的服务,以及可以访问的网站。
限制暴露用户点利用防火墙对内部网络的划分,可实现网络中网段的隔离,防止影响一个网段的问题通过整个网络传播,从而限制了局部重点或敏感网络安全问题对全局网络造
成的影响。
网络地址转换防火墙可以作为部署NAT的逻辑地址,来缓解地址空间短缺的问题,并消除在变换ISP时带来的重新编址的麻烦。
虚拟专用网防火墙支持具有Internet服务特性的企业内部网络技术体系虚拟专用网络
(Virtual Private Network,VPN)。
⏹防火墙概述⏹防火墙的前世今生⏹安全域和边界防御思想⏹防火墙产品标准⏹下一代防火墙产品架构
目录
CONTENTS
防火墙发展历史
防火墙的发展大致经历了第一代、第二代、第三代、第四代、第五代、统一威胁管理和下一代防火墙这几个重要阶段。
第一代防火墙采用静态包过滤(Statics Packet Filter )技术,是依附于路由器的包过滤功能实
现的防火墙。这一类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过
滤规则相匹配。
第二代防火墙,也称电路层防火墙,贝尔实验室在1989年推出。电路层防火墙通过使用TCP连接将
可信任网络中继到非信任网络来工作。因为电路层防火墙不能感知应用协议,它必须由客户端提供连
接信息。
第三代防火墙,即应用层防火墙(或叫做代理防火墙),20世纪90年代初,开始推出。所谓代理
服务,是通过代理服务从而实现防火墙内外计算机系统的隔离。
第四代防火墙是基于动态包过滤(Dynamic Packet Filter)技术,于1992年由UCS信息科学院的
Bob Braden开发。这一类型的防火墙依据设定好的过滤逻辑,检查数据流中的每个数据包,根据数据
包的源地址、目标地址、以及包的使用确定是否允许该类型数据包通过。
第五代防火墙是于1998年由NAI公司推出一种自适应代理(Adaptive Proxy)技术,并在其产品
Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义。
统一威胁管理
2004年9月,美国IDC首度提出“统一威胁管理(United Threat Management,UTM)”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理新类别。
UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,提供一项或多项安全功能,将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理
平台。
面临新的问题:
(1)对应用层信息的检测程度受到限制;
(2)性能问题,UTM中多个功能同时运行,设备的处理性能将会严重下降。