信息安全培训教程 第4章 防火墙技术PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.3 防火墙体系结构 1.包过滤防火墙
第4章 防火墙技术
包过滤防火墙
应用层 表示层 会话层 传输层
网络层 数据链路层
物理层
Biblioteka Baidu
网络层 数据链路层
物理层 互连的物理介质
应用层 表示层 会话层
传输层 网络层
数据链路层 物理 层
第4章 防火墙技术
包过滤防火墙
优点: 速度快,性能高,对用户透明 缺点:7点
第4章 防火墙技术
4.2 防火墙原理 最初含义:当房屋还处于木制结构的时侯,人们将
石块堆砌在房屋周围用来防止火灾的发生。这种墙 被称之为防火墙。
Rich Kosinski(Internet Security公司总裁): 防火墙是一种访问控制技术,在某个机构的网
络和不安全的网络之间设置障碍,阻止对信息资源 的非法访问。换句话说,防火墙是一道门槛,用来 控制进/出两个方向的通信。
将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”,由
两个终止代理服务器上的“ 链接”来实现. 外部计算机的网络链路只能到达代理服务器,从而
起到了隔离防火墙内外计算机系统的作用。
第4章 防火墙技术
包过滤防火墙
代理服务是运行在防火墙主机上的专门的应用 程序或者服务器程序。不允许通信直接经过外部网 和内部网。
不透明
第4章 防火墙技术
应用层 表示层 会话层 传输层 网络层 链路层 物理层
FTP HTTP SMTP
应用层 表示层 会话层 传输层 网络层 链路层 物理层
应用层 表示层 会话层 传输层 网络层 链路层 物理层
第4章 防火墙技术
双重宿主主机结构
双重宿主主机体系结构是围绕双重宿主主机构筑的。
1.维护比较困难(需要对TCP/IP了解) 2. 安全性低(IP欺骗等) 3. 不提供有用的日志,或根本就不提供 4. 不防范数据驱动型攻击 5. 不能根据状态信息进行控制 6. 不能处理网络层以上的信息 7. 无法对网络上流动的信息提供全面的控制;
第4章 防火墙技术
代理服务是运行在防火墙主机上的专门的应用程序 或者服务器程序。不允许通信直接经过外部网和内 部网。
管理机
串口线 内网
直通线
交叉线
外网
交叉线 SSN 区域
第4章 防火墙技术
防火墙特点: 1.防火墙主要用于保护内部安全网络免受外部网不安
全网络的侵害。
2.典型情况:安全网络为企业内部网络,不安全网络 为因特网。
3.但防火墙不只用于因特网,也可用于Intranet各 部门网络之间(内部防火墙)。例:财务部与市场 部之间。
第4章 防火墙技术
第4章 防火墙技术
4.1 防火墙概述
标准1U机箱,节省了宝贵的机柜空间,而且外形美观大方 配置3 个 10/100M 自适应接口,内网、外网、SSN 三个接口固定,不可更改 接口数量、类型不可更改 国内标准220V交流电源输入,不需要额外的电源转换设备 内存=64 M 电源=AC90~260V,47~63Hz,0.15A / 0.25A 主板采用集成化设计,稳定性、可靠性更高
第4章 防火墙技术
第4章 防火墙技术
防火墙的基本功能模块:
内容过滤
用户认证
VPN
应用程序代理
包过滤&状态检测
IDS与报警
NAT
日志
第4章 防火墙技术
防火墙防范原理:
防火墙不是解决所有网络安全问题的万能药方,只是网络安 全政策和策略中的一个组成部分。
防火墙不能防范绕过防火墙的攻击,例:内部提供拨号服 务。
双重宿主主机至少有两个网络接口,它位于内部网络和外部网 络之间,这样的主机可以充当与这些接口相连的网络之间的路 由器,它能从一个网络接收IP数据包并将之发往另一网络。然 而实现双重宿主主机的防火墙体系结构禁止这种发送功能,完 全阻止了内外网络之间的IP通信。因此IP数据包并不是从一个 网络(如外部网络)直接发送到另一个网络(如内部网络)。 外部网络能与双重宿主主机通信,内部网络也能与双重宿主主 机通信。但是外部网络与内部网络不能直接通信,它们之间的 通信必须经过双重宿主主机的过滤和控制。
将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”,由 两个终止代理服务器上的“ 链接”来实现.
外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。
第4章 防火墙技术
包过滤防火墙
第4章 防火墙技术
应用代理技术介绍: 优点:安全性高、提供应用层的安全 缺点:性能差、伸缩性差、只支持有限应用
防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。
第4章 防火墙技术
防火墙的种类:
防火墙的存在形式:软件、硬件。 根据防范方式和侧重点的不同可分为四类:
包过滤 应用层代理 电路层代理 状态检查
第4章 防火墙技术
第4章 防火墙技术
防火墙示意图:
3. 分公司网络
2. 部门子网
Internet
1. 企业内联网
第4章 防火墙技术
在一个受保护的企业内 部网络与互联网间,用 来强制执行企业安全策 略的一个或一组系统.
第4章 防火墙技术
防火墙定义:
内部网
Sourc
e Host
A Host
B
Destinati on
第4章 防火墙技术
两个网络之间的通信可通过应用层数据共享 和应用层代理服务的方法实现。一般情况下 采用代理服务的方法。
第4章 防火墙技术
防火墙概念:
最初含义:当房屋还处于木制结构的时侯,人们将 石块堆砌在房屋周围用来防止火灾的发生。这种墙 被称之为防火墙。
Rich Kosinski(Internet Security公司总裁): 防火墙是一种访问控制技术,在某个机构的网
络和不安全的网络之间设置障碍,阻止对信息资源 的非法访问。换句话说,防火墙是一道门槛,用来 控制进/出两个方向的通信。
Host C
Host C
Permi t
Pass
Block
Protoc ol
TCP
UDP
Internet
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。
第4章 防火墙技术
包过滤防火墙
应用层 表示层 会话层 传输层
网络层 数据链路层
物理层
Biblioteka Baidu
网络层 数据链路层
物理层 互连的物理介质
应用层 表示层 会话层
传输层 网络层
数据链路层 物理 层
第4章 防火墙技术
包过滤防火墙
优点: 速度快,性能高,对用户透明 缺点:7点
第4章 防火墙技术
4.2 防火墙原理 最初含义:当房屋还处于木制结构的时侯,人们将
石块堆砌在房屋周围用来防止火灾的发生。这种墙 被称之为防火墙。
Rich Kosinski(Internet Security公司总裁): 防火墙是一种访问控制技术,在某个机构的网
络和不安全的网络之间设置障碍,阻止对信息资源 的非法访问。换句话说,防火墙是一道门槛,用来 控制进/出两个方向的通信。
将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”,由
两个终止代理服务器上的“ 链接”来实现. 外部计算机的网络链路只能到达代理服务器,从而
起到了隔离防火墙内外计算机系统的作用。
第4章 防火墙技术
包过滤防火墙
代理服务是运行在防火墙主机上的专门的应用 程序或者服务器程序。不允许通信直接经过外部网 和内部网。
不透明
第4章 防火墙技术
应用层 表示层 会话层 传输层 网络层 链路层 物理层
FTP HTTP SMTP
应用层 表示层 会话层 传输层 网络层 链路层 物理层
应用层 表示层 会话层 传输层 网络层 链路层 物理层
第4章 防火墙技术
双重宿主主机结构
双重宿主主机体系结构是围绕双重宿主主机构筑的。
1.维护比较困难(需要对TCP/IP了解) 2. 安全性低(IP欺骗等) 3. 不提供有用的日志,或根本就不提供 4. 不防范数据驱动型攻击 5. 不能根据状态信息进行控制 6. 不能处理网络层以上的信息 7. 无法对网络上流动的信息提供全面的控制;
第4章 防火墙技术
代理服务是运行在防火墙主机上的专门的应用程序 或者服务器程序。不允许通信直接经过外部网和内 部网。
管理机
串口线 内网
直通线
交叉线
外网
交叉线 SSN 区域
第4章 防火墙技术
防火墙特点: 1.防火墙主要用于保护内部安全网络免受外部网不安
全网络的侵害。
2.典型情况:安全网络为企业内部网络,不安全网络 为因特网。
3.但防火墙不只用于因特网,也可用于Intranet各 部门网络之间(内部防火墙)。例:财务部与市场 部之间。
第4章 防火墙技术
第4章 防火墙技术
4.1 防火墙概述
标准1U机箱,节省了宝贵的机柜空间,而且外形美观大方 配置3 个 10/100M 自适应接口,内网、外网、SSN 三个接口固定,不可更改 接口数量、类型不可更改 国内标准220V交流电源输入,不需要额外的电源转换设备 内存=64 M 电源=AC90~260V,47~63Hz,0.15A / 0.25A 主板采用集成化设计,稳定性、可靠性更高
第4章 防火墙技术
第4章 防火墙技术
防火墙的基本功能模块:
内容过滤
用户认证
VPN
应用程序代理
包过滤&状态检测
IDS与报警
NAT
日志
第4章 防火墙技术
防火墙防范原理:
防火墙不是解决所有网络安全问题的万能药方,只是网络安 全政策和策略中的一个组成部分。
防火墙不能防范绕过防火墙的攻击,例:内部提供拨号服 务。
双重宿主主机至少有两个网络接口,它位于内部网络和外部网 络之间,这样的主机可以充当与这些接口相连的网络之间的路 由器,它能从一个网络接收IP数据包并将之发往另一网络。然 而实现双重宿主主机的防火墙体系结构禁止这种发送功能,完 全阻止了内外网络之间的IP通信。因此IP数据包并不是从一个 网络(如外部网络)直接发送到另一个网络(如内部网络)。 外部网络能与双重宿主主机通信,内部网络也能与双重宿主主 机通信。但是外部网络与内部网络不能直接通信,它们之间的 通信必须经过双重宿主主机的过滤和控制。
将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“ 链接”,由 两个终止代理服务器上的“ 链接”来实现.
外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。
第4章 防火墙技术
包过滤防火墙
第4章 防火墙技术
应用代理技术介绍: 优点:安全性高、提供应用层的安全 缺点:性能差、伸缩性差、只支持有限应用
防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。
第4章 防火墙技术
防火墙的种类:
防火墙的存在形式:软件、硬件。 根据防范方式和侧重点的不同可分为四类:
包过滤 应用层代理 电路层代理 状态检查
第4章 防火墙技术
第4章 防火墙技术
防火墙示意图:
3. 分公司网络
2. 部门子网
Internet
1. 企业内联网
第4章 防火墙技术
在一个受保护的企业内 部网络与互联网间,用 来强制执行企业安全策 略的一个或一组系统.
第4章 防火墙技术
防火墙定义:
内部网
Sourc
e Host
A Host
B
Destinati on
第4章 防火墙技术
两个网络之间的通信可通过应用层数据共享 和应用层代理服务的方法实现。一般情况下 采用代理服务的方法。
第4章 防火墙技术
防火墙概念:
最初含义:当房屋还处于木制结构的时侯,人们将 石块堆砌在房屋周围用来防止火灾的发生。这种墙 被称之为防火墙。
Rich Kosinski(Internet Security公司总裁): 防火墙是一种访问控制技术,在某个机构的网
络和不安全的网络之间设置障碍,阻止对信息资源 的非法访问。换句话说,防火墙是一道门槛,用来 控制进/出两个方向的通信。
Host C
Host C
Permi t
Pass
Block
Protoc ol
TCP
UDP
Internet
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。