新一代防火墙技术及应用 第1章 防火墙概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙概述
14
1.2.2 双宿主堡垒主机防火墙
用一台特殊主机来实现,这台 主机也被称为堡垒主机
这台主机拥有两个不同的网络 接口,一端接外部网络,另一 端连接需要保护的内部网络, 故称为双宿主机
双宿主堡垒主机结构优于屏蔽 路由结构
双宿主堡垒主机防火墙的最大
特点是 IP层的通信是被阻止
的,两个网络间的通信是靠应
防火墙概述
9
1.1 防火墙定义和功能
1.1.2 防火墙的功能
(1)边界防火墙的基本功能包括:
创建一个阻塞点 隔离不同网络,防止内部信息的外泄 强化安全策略 有效地审计和记录内、外部网络上的活动
防火墙概述
10
1.1 防火墙定义和功能
2.1.2 防火墙的功能
(2)内部防火墙 处于内部不同可信等级安全域之间,起到隔离
防火墙概述
18
1.2.4 屏蔽子网防火墙
屏蔽子网防火墙结构中存在三道防线,外部屏蔽路由器用 于管理所有外部网络对DMZ的访问,它只允许外部访问 堡垒主机或DMZ中对外开放的服务器,并防范来外部的 网络攻击。
内部屏蔽路由器位于DMZ与内部网络之间,提供第三层 防御,它只接收来自堡垒主机的数据包,管理DMZ到内 部网络的访问,只允许内部网络访问DMZ网络中的堡垒 主机或服务器。
的规则进行监控、审核和过滤,不符合规则 的通信将被拒绝通过
防火墙概述
6
1.1 防火墙定义和功能
1.1.2.2 DMZ区
DMZ(Demilitarized Zone,隔离区,或译作 非军事区),是从内部网络中划分的一个小区域, 专门用于放置既需被内部访问又需提供公众服 务的服务器
此区域由于要提供对外服务,因而被保护级别 设置较低
1.1.1 防火墙的定义
防火墙可以是软件、硬件或软硬件的组合。不管 什么种类的防火墙,不论其采用何种技术手段,防火 墙都必须具有以下三种基本性质:
内部网络和外部网络之间的所有数据流都必须经过防 火墙;
能根据网络安全策略控制(允许、拒绝、监测)出入网 络的信息流,且自身具有较强的抗攻击能力;
本身不能影响网络信息的流通。
设置在不同网络(如可信任的企业内部网络和 不可信的公共网络)或网络安全域之间的一系 列部件的组合。
在逻辑上,防火墙是一个分离器,一个限制器, 也是一个分析器,能有效地监控流经防火墙的 数据,保证内部网络和DMZ(Demilitarized Zone,隔离区,或译作非军事区)的安全。
防火墙概述
3
2.1 防火墙定义和功能
防火墙概述
7
1.1 防火墙定义和功能
1.1.2.3 内部网络
内部网络是防火墙要保护的对象,包括内部网 络中所有核心设备,如服务器、路由器、核心 交换机及用户个人电脑
内部网络有可能包括不同的安全区域,具有不 同等级的安全访问权限
内部网络和DMZ区都属于内部网络的一部分, 但它们的安全级别或策略是不同的
第1章 防火墙概述
防火墙技术与应用
1
学习目标
掌握防火墙的定义及功能 掌握防火墙的基本结构 了解防火墙的分类 理解下一代防火墙的定义 本章重点 防火墙定义及功能 防火墙基本结构 新一代防火墙定义
防火墙技术与应用
2
1.1 防火墙定义和功能
1.1.1 防火墙的定义
国家标准GB/T 20281-2006《信息安全技术 防火墙技术要求和测试评价方法》
内网关键部门、子网或用户的目的。
防火墙概述
11
1.1 防火墙定义和功能
1.1.2 防火墙的功能
(2)内部防火墙 基本功能包括:
可以精确制订每个用户的访问权限,保证内部网络 用户只能访问必要的资源。
内部防火墙可以记录网段间的访问信息,及时发现 误操作和来自内部网络其他网段的攻击行为。
通过集中的安全策略管理,使每个网段上的主机不 必再单独设立安全策略,降低了人ห้องสมุดไป่ตู้因素导致产生 网络安全问题的可能性。
防火墙概述
8
1.1 防火墙定义和功能
1.1.2 防火墙的功能
(1)边界防火墙 处于外部不可信网络(包括因特网、广域网和 其他公司的专用网)与内部可信网络之间,控 制来自外部不可信网络对内部可信网络的访问, 防范来自外部网络的非法攻击。同时,保证了 DMZ区服务器的相对安全性和使用便利性。 这是目前防火墙的最主要应用。
用层数据共享或应用层代理服
务来实现的
防火墙概述
15
1.2.3 屏蔽主机防火墙
屏蔽主机防火墙由屏蔽路由 器和双宿主机组成,是上面 第一种和第二种防火墙结构 的组合
屏蔽主机防火墙使用一个屏 蔽路由器,屏蔽路由器至少 有一条路径,分别连接到非 信任的网络和堡垒主机上。 屏蔽路由器为堡垒主机提供 基本的过滤服务,所有的IP 数据包只有经过路由器过滤 后才能到达堡垒主机
屏蔽路由器是否正确配置是防火墙安全与否的关键。
禁止ICMP重新定向。以避免入侵者利用路由器对错误 ICMP重定向消息的应答而攻击网络。
防火墙概述
17
1.2.4 屏蔽子网防火墙
屏蔽子网防火墙使用一个 或多个屏蔽路由器和堡垒 主机,同时在内外网之间 建立一个被隔离的子网, 即DMZ非军事区。
这是当前应用最广泛的防 火墙结构
防火墙概述
4
1.1 防火墙定义和功能
1.1.2 防火墙的功能
一个典型的网络体系结构及防火墙的应用
防火墙技术与应用
5
1.1 防火墙定义和功能
1.1.2.1 外部网络
外部包括互联网的主机和网络设备,此区域 为防火墙的不可信公共网络
防火墙处于内部网络与外部网络的边界 对所有外部访问内部的所有通信按预先设置
防火墙概述
12
1.2 防火墙的基本结构
1.2.1 屏蔽路由器防火墙 1.2.2双宿主堡垒主机防火墙 1.2.3屏蔽主机防火墙 1.2.4屏蔽子网防火墙
防火墙概述
13
1.2.1 屏蔽路由器防火墙
在原有的包过滤路由器上 进行包过滤部署,又称为 包过滤路由器防火墙
在屏蔽路由防火墙结构中, 内部网络的所有出入都必 须通过过滤路由器,路由 器审核每个数据包,依据 过滤规则决定允许或拒绝 数据包
防火墙概述
16
1.2.3 屏蔽主机防火墙
屏蔽主机防火墙结构的安全等级比包过滤防火墙更高, 其实现了网络层安全和应用层安全,入侵者在进入内部 网络之前必须透渗两种不同的安全系统。
外部网络只能访问堡垒主机,去往内部网络的所有信息 被阻断。
屏蔽主机防火墙存在的问题
屏蔽路由器成为安全关键点,也可能成为可信网络流量 的瓶颈。