防火墙介绍

4 防火墙局限性
防火墙不是万能的，它还存在着一些不易防范的安全威胁：
首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。 例如，如果允许从受保护的网络内部向外拨号，一些用户 就可能形成与Internet 的直接连接。
防火墙可以防止外部网络的攻击，无法防止内部网络搞破 坏的行为。
END
感谢 观看
目 录
Contents
1 234
防防防防 火火火火 墙墙墙墙 概分工局 述类作限
模性 式
1 防火墙概述
什么是防火墙？
本意
防火墙的本义是指古代构筑和使 用木制结构房屋的时候，为防止 火灾的发生和蔓延，人们将坚固 的石块堆砌在房屋周围作为屏障， 这种防护构筑物就被称之为“防 火墙”。
它是一种位于内部网络与外部 网络之间的网络安全系统。一 项信息安全的防护系统，依照 特定的规则，允许或是限制传 输的数据通过。
如今
防火墙组成
防火墙组成： 服务访问规则（ACL） 包过滤 验证工具 应用网关
防火墙类型
主机型防火墙（软件防火墙）
安装于计算机中只针对安装的这台计算机进行 保护
网络型防火墙（由软硬件组成）
运行在网络层上，放置在私有网络和公网之间， 不仅保护单一电脑，还保护整个网络.
防火墙作用
过滤进出网 络的数据
封阻某 些禁止 的业务
对进出网络 的行为进行
管理
将通过防火墙 的数据和内容
记录下来
对恶意的网 络攻击检测
和告警
防火墙应用
防火墙主要应用场景
出口网关
安全区域边界防护
IPSEC VPN （加密技术）
使用在互联网出口处，提供端口 映射、NAT（地址转换）、路由、 宽带管理等功能
针对大型或小型私网（专网）内 对各个不同安全域进行隔离防护
用户总部与分支之间，在两台或 以上设备之间使用IPSEC VPN
一些常用的功能： 路由功能、NAT功能、端口映射、安全策略、会话管理、VPN功能、 病毒防护、入侵防护、漏洞扫描、上网行为管理等
常见厂商防火墙产品
华为 USG6350 天融信 TG-A2206
68款设备（929-270000元） 设备参数：4GE+2Combo、防火墙吞吐量 2Gbit/s、IPSEC吞吐量400Mbit/s、VPN支 持、SSLVPN并发数500、15000个策略数、 30000新建连接数
透明模式
该模式下以第二层（数据链路层）与外 界连接，所有的接口不配IP地址，这时 防火墙对于内网用户和路由器是透明的， 用户也感觉不到防火墙的存在。
特点：不用从新进行IPபைடு நூலகம்分减少工作量， 无需重新规划IP地址，不做nat,数据包直 接通过，但损失一些功能，如路由、 VPN等
混合模式
该模式下是路由模式与透明模式的结合， 既工作在路由模式又工作在透明模式， 接口有IP（路由模式），也有IP（透明 模式）。主备防火墙互相连接，并运行 VRRP进行备份。运行VRRP（路由冗余） 功能的接口有IP，其他没有。
44款设备（5000-250000元） 设备参数：6个千兆电口、吞吐量2.2G、 每秒新建连接1.4W、VPN支持、IPSEC VPN吞吐40M、SSLVPN吞吐100M
2 防火墙分类
包过滤防火墙
应用代理防火墙
状态检测防火墙
下一代防火墙
3 防火墙工作模式
路由模式
在该模式下防火墙以第三层（网络）对 外连接，所有接口都需要配置IP地址 特点：功能全面、需要对现有网络进行 一定的调整。