防火墙知识介绍要点
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
查询控制策略 根据策略决定如 何处理数据包
拆数据包
数据包
数据包
Host D Host C
包过滤工作原理
应用层 数据
数据 应用层
TCP层 TCP 数据
TCP 数据 TCP层
I P 层 IP TCP 数据
只检查包头
IP TCP 数据 I P 层
网络接口层
IP TCP 数据
ETH IP TCP 数据
ETH IP TCP 数据
防火墙的分类
从产品性能上分为:
百兆防火墙 千兆防火墙
从发展历程上分为:
包过滤防火墙:基本包过滤访问控制功能,安全性差 应用代理防火墙:应用代理功能,支持应用层内容级控制,但是
支持协议有限
状态检测防火墙:跟踪网络会话状态实现访问控制,性能好,安
全性高
复合型防火墙:结合状态检测、应用代理以及众多其他功能,功
国内网络安全现状
从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境 内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
据2011年调查,我国约73%的计算机用户曾感染病毒,2013年上半年升至 83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病 毒破坏全部数据的占14%,破坏部分数据的占57%。
网络接口层
网络安全现状
据统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元, 德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题 也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已 名列榜首。
2013年,CSI/FBI调查所接触的524个组织中,有56%遇到电脑安全事件,其中 38%遇到1~5起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击 点的组织连续3年不断增加;遭受拒绝服务攻击(DoS)则从2010年的27%上升 到2013年的42%。调查显示,521个接受调查的组织中96%有网站,其中30% 提供电子商务服务,这些网站在2013年1年中有20%发现未经许可入侵或误用 网站现象。更令人不安的是,有33%的组织说他们不知道自己的网站是否受 到损害。据统计,全球平均每20s就发生1次网上入侵事件,黑客一旦找到系 统的薄弱环节,所有用户均会遭殃。
下一代防火墙
下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可 以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的 用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎, NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地 开展业务并简化用户的网络安全架构。
防火墙知识介绍
山东源鲁信息科技有限公司 销售顾问—刘波
防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用 网与公共网之间的界面上构造的保护屏障。
提纲
网络安全现状 防火墙概念 防火墙关键技术 防火墙功能一览 防火墙性能指标 防火墙发展及趋势
网络安全现状
随着信息化进程的深入和互联网的迅速发展,网络安全问题已成为信息时 代人类共同面临的挑战,国内的网络安全问题也日益突出。具体表现为: 1、计算机系统受病毒感染和破坏的情况相当严重 2、电脑黑客活动已形成重要威胁 3、信息基础设施面临网络安全的挑战 4、信息系统在预测、防范、反应和恢复能力方面存在许多薄弱环节 5、网络政治颠覆活动频繁 ……
近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市 信息安全管理部门统计,2013年第1季度内,该市共遭受近37万次黑客攻 击、2.1万次以上病毒入侵和57次信息系统瘫痪。
网络风险
业内安全专家公认:所谓的“周界杀手”蠕虫和“零日攻击”将大量增加,这将是 目前及今后网络安全面临的最大威胁。
(“周界杀手”:那些不通过传统的电子邮件方式传播而是通过进攻系统、软件的 漏洞而对网络实施攻击的病毒软件)
(“零日攻击”: 病毒或蠕虫利用操作系统或者软件某个未知和未修补的漏洞发起 攻击)
基于“零日”漏洞而制造的一种“冲击波”式的蠕虫可以毁坏计算机网络,并使管 理人员对网络保护束手无策。
部署防火墙的必要性
能强大,安全性高
提纲
网络安全现状 防火墙概念 防火墙关键技术 防火墙功能一览 防火墙性能指标 防火墙发展及趋势
(一)包过滤访问控制
IP包头 TCPຫໍສະໝຸດ Baiduudp包头 数 据 包过滤的判断信息
Host A
源 Host A Host B
目标 Host C Host C
许可 协议 允许 TCP 阻止 UDP
防火墙、网络处理器(Network Processor,NP处理器)架构防火墙
从部署位置上分为:
网关防火墙:边界防火墙,部署于网络边界出口处 个人防火墙:多为软件防火墙,安装在单个主机系统上 分布式防火墙:包括边界防火墙、主机防火墙以及集中管理平台,
把防火墙的安全防护系统延伸到网络中各台主机,准确地说,它不 是一个单一的产品,而是一个完整的体系
什么是防火墙
信任网络
非信任网络
网络的唯一通路
防火墙,Firewall,是一种高级访问控制设备,置于 不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据有关的安全 政策控制(允许、拒绝、监视、记录)进出网络的行 为,本身具有较强的抗网络攻击能力。它是提供信息 安全服务,实现网络和信息安全的基础设施。
下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控 制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网 络时代下的模式变迁。
下一代防火墙
防火墙的分类
从产品形式上分为:
软件防火墙:纯软件防火墙,安装在操作系统之上 硬件防火墙:硬件/软件一体化防火墙(X86结构)、ASIC芯片级
基于目前网络安全的现状,为了保证网络的安全,防止 机密信息被盗取,各企业、政府机关、高校等均纷纷采 取相应的安全措施,而防火墙则一般是众多网络安全产 品中首要考虑的重要一环,是网络的第一道安全门坎。
提纲
网络安全现状 防火墙概念 防火墙关键技术 防火墙功能一览 防火墙性能指标 防火墙发展及趋势