第1讲防火墙基础及防火墙技术精品PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
路由器。 • 路由器防火墙的本质性缺陷是:由于路由器的主
要功能是为网络访问提供动态的、灵活的路由, 而防火墙则要对访问行为实施静态的、固定的控 制,这是一对难以调和的矛盾,防火墙规则设置 会大大降低路由器的性能。
防火墙技术的发展
2、用户化的防火墙工具套(1)
它是纯软件产品又称为代理服务器,它用来提供应用 级的控制,起到外部网络向被保护的内部网申请服 务时中间转接作用。
3、屏蔽主机防火墙
Internet 路由器充当包过滤防火墙
内部网络
堡垒主机 通常路由器上设立过滤规则,并使这个堡垒主机 成为从外部网络惟一可直接到达的主机
防火墙的基本结构
4、 屏蔽子网防火墙
Internet
外部路由器 周边网络
堡垒主机
内部网络
内部路由器
在内部网络和外部网络之间建立一个被隔离的子网 ,用两台分组过滤路由器将这一子网分别与内部网 络和外部网络分开
典型的防火墙结构
Internet
路由器
防火墙
202.100.X.X 192.169.X.X
192.168.X.X
DMZ区 Web服务器 多媒体服务器
FTP服务器
数据库 应用 工作站 工作站 内部网络 服务器 服务器
源自文库
1.3节 防火墙的发展历程
• 防火墙的优缺点 • 什么是防火墙 • 防火墙基本功能 • 防火墙的发展历程 • 防火墙的技术
策略来决定转发或阻止 数据包
屏蔽路由器
…..
…..
内部网络
PC
PC
PC
PC
缺点是路由器一旦被控制后很难发现,而且不能识别不同的用户
防火墙的基本结构
2、双宿主机防火墙
Internet
双宿主机
内网网卡
外网网卡
内部网络
双宿主机是一台装有两块网卡的堡垒主机做防火墙。两块网 卡分别与受保护网和外部网相连。
防火墙的基本结构
防火墙技术的发展历程
• 第一阶段:基于路由器的防火墙 • 第二阶段:用户化的防火墙工具套 • 第三阶段:建立在通用操作系统上的防火墙 • 第四阶段:具有安全操作系统的防火墙
防火墙技术的发展
1、 基于路由器的防火墙(1)
第一代防火墙的特点:
• 利用路由器的访问控制列表(ACL)来实现 对分组的过滤。
防火墙与入侵检测技术
第1讲
防火墙及防火墙技术
安全的概述
• 常用的安全技术有静态有:物理隔离、防病毒软 件、加密技术、用户认证、访问控制、防火墙。 动态的有:入侵检测系统等.
• 防火墙和入侵检测是两种重要的、可以互为补充 的安全技术. 两者从不同的角度、不同的层次实现 了被保护的网络系统的安全.
• 入侵检测(核心内容)被认为是防火墙之后的第 二道安全闸门,它在不影响网络性能的情况下对 网络进行监测,从而提供对内部攻击、外部攻击 和误操作的实时保护.
• 防火墙不能防范不经由防火墙的攻击
如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet 的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
• 防火墙不能防范感染了病毒的软件或文件的传输
• 防火墙不能防范数据驱动式攻击
当有些表面看来无害的数据邮寄或复制到内部主机上并被执行时,可能会发生 数据驱动式的攻击。
内部DMZ
外部堡垒主机
内部堡垒主机
内部网络
两台双宿堡垒主机,有两个非军事区,并将网 络分成了4个部分:内部网络、外部网络、内 部非军事区和外部非军事区。
防火墙的基本结构
7、两个堡垒主机和一个非军事区
Internet
外部路由器
外部堡垒主机 DMZ
内部路由器
内部堡垒主机
内部网络
用两个具有单一网络接口的堡垒主机,加上一个内部过滤路由器作为 阻塞器,内部过滤路由器位于DMZ和内部网络之间。这种结构比屏蔽 路由器型更安全
防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起 作用。不可能依靠一次性的防火墙设置来解决永远的网络安全问题
• 防火墙限制了有用的网络服务
防火墙为了提高保护网络的安全性,限制或关闭了很多有用但存在 安全缺陷的网络服务。
1.2节 防火墙的基本结构
防火墙的基本结构
1 屏蔽路由器型
Internet
第二代防火墙的特点:
• 将过滤功能从路由器中独立出来,并加上审计和告 警功能 ;
4、防火墙的优缺点(3)
缺点:
• 防火墙不能防范利用标准网络协议中的缺陷进行攻击
一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中 的缺陷进行的攻击
• 防火墙不能防范利用服务器系统漏洞进行的攻击
黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火 墙不能防止
• 防火墙不能防范新的网络安全问题
1.1节防火墙基础
• 什么是防火墙 • 防火墙基本功能 • 防火墙的发展历程 • 防火墙的关键技术
1、防火墙的概念
传统的防火墙
2、防火墙的概念
信任网络
非信任网络
网络的唯一通路
3、防火墙的定义
防火墙是一种高级访问控制设备,置于不同网 络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业 有关的安全策略控制(允许、拒绝、监视、记 录)进出网络的行为。 其作用就是防止不希望的、未授权的信息进入 被保护的网络。 安全、管理、速度是防火墙三大要素。
防火墙的基本结构
Internet
5、其他的防火墙结构
外部路由器
DMZ
堡垒主机的一个网络 接口接到非军事区, 另一个网络接口接到 内部网络,过滤路由 器的一端接到因特网 ,另一端接到非军事 区
内部网络
一个堡垒主机和一个非军事区
堡垒主机
防火墙的基本结构
6、 两个堡垒主机和 两个非军事区 外部DMZ
外部路由器 Internet
• 过滤和判定的依据可以是:地址、端口号、 IP标记及其它网络特征。
• 只能提供分组过滤的功能。
防火墙技术的发展
1、基于路由器的防火墙(2)
第一代防火墙的不足:
• 由于路由协议十分灵活,本身存在安全漏洞,从 外部网络探寻内部网络十分容易。
• 对过滤规则的设置可能存在安全隐患。 • 路由器防火墙的最大隐患是:可以假冒地址欺骗
4、防火墙的优 缺点(1)
优点:
• 管理进出网络的访问行为 • 封堵某些禁止的访问行为 • 记录通过防火墙的信息和活动 • 对网络攻击进行检测和告警 • 可以通过NAT转换节省IP地址,
隐藏内部网络结构。
4、防火墙的优缺点(2)
缺点:
• 防火墙不能防范来自内部网络的攻击
对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。
要功能是为网络访问提供动态的、灵活的路由, 而防火墙则要对访问行为实施静态的、固定的控 制,这是一对难以调和的矛盾,防火墙规则设置 会大大降低路由器的性能。
防火墙技术的发展
2、用户化的防火墙工具套(1)
它是纯软件产品又称为代理服务器,它用来提供应用 级的控制,起到外部网络向被保护的内部网申请服 务时中间转接作用。
3、屏蔽主机防火墙
Internet 路由器充当包过滤防火墙
内部网络
堡垒主机 通常路由器上设立过滤规则,并使这个堡垒主机 成为从外部网络惟一可直接到达的主机
防火墙的基本结构
4、 屏蔽子网防火墙
Internet
外部路由器 周边网络
堡垒主机
内部网络
内部路由器
在内部网络和外部网络之间建立一个被隔离的子网 ,用两台分组过滤路由器将这一子网分别与内部网 络和外部网络分开
典型的防火墙结构
Internet
路由器
防火墙
202.100.X.X 192.169.X.X
192.168.X.X
DMZ区 Web服务器 多媒体服务器
FTP服务器
数据库 应用 工作站 工作站 内部网络 服务器 服务器
源自文库
1.3节 防火墙的发展历程
• 防火墙的优缺点 • 什么是防火墙 • 防火墙基本功能 • 防火墙的发展历程 • 防火墙的技术
策略来决定转发或阻止 数据包
屏蔽路由器
…..
…..
内部网络
PC
PC
PC
PC
缺点是路由器一旦被控制后很难发现,而且不能识别不同的用户
防火墙的基本结构
2、双宿主机防火墙
Internet
双宿主机
内网网卡
外网网卡
内部网络
双宿主机是一台装有两块网卡的堡垒主机做防火墙。两块网 卡分别与受保护网和外部网相连。
防火墙的基本结构
防火墙技术的发展历程
• 第一阶段:基于路由器的防火墙 • 第二阶段:用户化的防火墙工具套 • 第三阶段:建立在通用操作系统上的防火墙 • 第四阶段:具有安全操作系统的防火墙
防火墙技术的发展
1、 基于路由器的防火墙(1)
第一代防火墙的特点:
• 利用路由器的访问控制列表(ACL)来实现 对分组的过滤。
防火墙与入侵检测技术
第1讲
防火墙及防火墙技术
安全的概述
• 常用的安全技术有静态有:物理隔离、防病毒软 件、加密技术、用户认证、访问控制、防火墙。 动态的有:入侵检测系统等.
• 防火墙和入侵检测是两种重要的、可以互为补充 的安全技术. 两者从不同的角度、不同的层次实现 了被保护的网络系统的安全.
• 入侵检测(核心内容)被认为是防火墙之后的第 二道安全闸门,它在不影响网络性能的情况下对 网络进行监测,从而提供对内部攻击、外部攻击 和误操作的实时保护.
• 防火墙不能防范不经由防火墙的攻击
如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet 的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
• 防火墙不能防范感染了病毒的软件或文件的传输
• 防火墙不能防范数据驱动式攻击
当有些表面看来无害的数据邮寄或复制到内部主机上并被执行时,可能会发生 数据驱动式的攻击。
内部DMZ
外部堡垒主机
内部堡垒主机
内部网络
两台双宿堡垒主机,有两个非军事区,并将网 络分成了4个部分:内部网络、外部网络、内 部非军事区和外部非军事区。
防火墙的基本结构
7、两个堡垒主机和一个非军事区
Internet
外部路由器
外部堡垒主机 DMZ
内部路由器
内部堡垒主机
内部网络
用两个具有单一网络接口的堡垒主机,加上一个内部过滤路由器作为 阻塞器,内部过滤路由器位于DMZ和内部网络之间。这种结构比屏蔽 路由器型更安全
防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起 作用。不可能依靠一次性的防火墙设置来解决永远的网络安全问题
• 防火墙限制了有用的网络服务
防火墙为了提高保护网络的安全性,限制或关闭了很多有用但存在 安全缺陷的网络服务。
1.2节 防火墙的基本结构
防火墙的基本结构
1 屏蔽路由器型
Internet
第二代防火墙的特点:
• 将过滤功能从路由器中独立出来,并加上审计和告 警功能 ;
4、防火墙的优缺点(3)
缺点:
• 防火墙不能防范利用标准网络协议中的缺陷进行攻击
一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中 的缺陷进行的攻击
• 防火墙不能防范利用服务器系统漏洞进行的攻击
黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火 墙不能防止
• 防火墙不能防范新的网络安全问题
1.1节防火墙基础
• 什么是防火墙 • 防火墙基本功能 • 防火墙的发展历程 • 防火墙的关键技术
1、防火墙的概念
传统的防火墙
2、防火墙的概念
信任网络
非信任网络
网络的唯一通路
3、防火墙的定义
防火墙是一种高级访问控制设备,置于不同网 络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业 有关的安全策略控制(允许、拒绝、监视、记 录)进出网络的行为。 其作用就是防止不希望的、未授权的信息进入 被保护的网络。 安全、管理、速度是防火墙三大要素。
防火墙的基本结构
Internet
5、其他的防火墙结构
外部路由器
DMZ
堡垒主机的一个网络 接口接到非军事区, 另一个网络接口接到 内部网络,过滤路由 器的一端接到因特网 ,另一端接到非军事 区
内部网络
一个堡垒主机和一个非军事区
堡垒主机
防火墙的基本结构
6、 两个堡垒主机和 两个非军事区 外部DMZ
外部路由器 Internet
• 过滤和判定的依据可以是:地址、端口号、 IP标记及其它网络特征。
• 只能提供分组过滤的功能。
防火墙技术的发展
1、基于路由器的防火墙(2)
第一代防火墙的不足:
• 由于路由协议十分灵活,本身存在安全漏洞,从 外部网络探寻内部网络十分容易。
• 对过滤规则的设置可能存在安全隐患。 • 路由器防火墙的最大隐患是:可以假冒地址欺骗
4、防火墙的优 缺点(1)
优点:
• 管理进出网络的访问行为 • 封堵某些禁止的访问行为 • 记录通过防火墙的信息和活动 • 对网络攻击进行检测和告警 • 可以通过NAT转换节省IP地址,
隐藏内部网络结构。
4、防火墙的优缺点(2)
缺点:
• 防火墙不能防范来自内部网络的攻击
对来自内部网络用户的攻击只能依靠内部网络主机系统的安全性。