网络管理与安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
n 代理技术与包过滤技术完全不同,包过滤技术是 在网络层拦截所有的信息流,代理技术是针对每 一个特定应用都有一个程序。
n 根 据 其 处 理 协 议 的 不 同 , 可 分 为 FTP 网 关 型 、 WWW网关型、Telnet网关型等防火墙,其优点 在于既能进行安全控制,又可加速访问,但实现 起来比较困难,对于每一种服务协议必须设计一 个代理软件模式,以进行安全控制。
3. 记录Internet活动
防火墙可以进行日志记录,并且提供警报功能。通过 在防火墙上实现日志服务,安全管理员可以监视所有从 外部网或互联网的访问。好的日志策略是实现网络安全 的有效工具之一。防火墙对于管理员进行日志存档提供 了更多的信息。
7.1.2 防火墙的任务
4. 保护内部网络
对于公网防火墙隐藏了内 部系统的一些信息以增 加其保密性。当远程节 点探测内部网络时,其 仅仅能看到防火墙。远 程节点不会知道内部网 络结构和资源。防火墙 以提高认证功能和对网 络加密来限制网络信息 的暴露,并通过对所有 输入的流量时行检查, 以限制从外部发动的攻 击。
防火墙体系结构通常分为四类:
l 屏蔽路由器(Screening Router)
l
屏 蔽 主 机 网 关 (Screened Host
7.2.3 代理服务
应用层代理主要的优点: n 支持用户认证并提供详细的注册信息; n 过滤规则相对于包过滤路由器更容易配置和测试; n 可提供详细的日志和安全审计功能; n 可以隐藏内部网的IP地址以保护内部主机不受外
部主机的进攻; n 内部网中的所有主机通过代理可以访问Internet。 应用层代理也有明显的缺点: n 应用层实现的防火墙会造成执行速度慢,其性能
7.2.2 应用级网关
n 应用层网关技术是 在网络的应用层上 实现协议过滤和转 发功能。它针对特 定的网络应用服务 协议使用指定的数 据过滤逻辑,并在 过滤的同时,对数 据包进行必要的分 析、记录和统计, 形成报告。实际的 应用网关通常安装 在专用工作站系统 上
7.2.2 应用级网关
n 应用级网关能够理解应用层上的协议,进行 复杂一些的访问控制。但每一种协议需要相 应的代理软件,使用时工作量大,效率不如 网络级防火墙。
n 第三代防火墙有效地提高了防火墙的安全性,称为状态 监控功能防火墙,它可以对每一层的数据包进行检测和 监控。
7.1.1 防火墙技术发展状况
n 第四代防火墙:1992年,开发出了基于动 态包过滤技术的第四代防火墙。
n 第五代防火墙:1998年,NAI公司推出了 一种自适应代理技术,可以称之为第五代 防火墙。
n 第一代防火墙,又称为包过滤防火墙,其主要通过对数 据包源地址、目的地址、端口号等参数来决定是否允许 该数据包通过或进行转发,但这种防火墙很难抵御IP地 址欺骗等攻击,而且审计功能很差。
n 第二代防火墙,也称代理服务器,它用来提供网络服务 级的控制,起到外部网络向被保护的内部网络申请服务 时中间转接作用,这种方法可以有效地防止对内部网络 的直接攻击,安全性较高。
nn
凡是没有明确表示禁止的就要被允许。
网络管理与安全技术
7.1.2 防火墙的任务
2. 创建检查点 n 防火墙在内部网络和公网间建立一个检查
点。 n 通过检查点防火墙设备可以监视、过滤和
检查所有进来和出去的流量。 n 网络管理员可以在检查点上集中实现安全
目的。
7.1.2 防火墙的任务
九运会信息网络系统已经受并成功地抵御了87万多次网络攻击
规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议
1 Allow 192.168.1.0 *
*
*
TCP
2 Allow *
192.168.1.0 20
*
TCP
•第一条是允许地址为192.168.1.0的网段内而其源端口和目的端 口为任意的主机进行TCP的会话。
•第二条是允许端口为20的任何远程IP地址都可以连接到 192.168.10.0的任意端口上。
• 通过检查数据流中每一个 数据包的源地址、目的地 址、所用端口号、协议状 态等因素,或它们的组合 来确定是否允许该数据包 通过。
7.2.1 数据包过滤
n 包过滤技术工作在OIS七层模型的网络层上 并有两个功能,即允许和阻止;
n 如果检查数据包所有的条件都符合规则,则 允许进行路由;如果检查到数据包的条件不 符合规则,则阻止通过并将其丢弃。
7.2.1 数据包过滤
n 包过滤防火墙的优点
速度快、逻辑简单、成本低、易于安装和使用,网 络性能和透明度好。它通常安装在路由器上,因 内部网络与Internet连接必须通过路由器,所以 在原有网络上增加这类防火墙,几乎不需要任何 额外的费用。
n 包过滤防火墙的缺点
不能对数据内容进行控制,缺乏用户级的授权;非 法访问一旦突破防火墙,即可对主机上的系统和 配置进行攻击。数据包的源地址、目的地址以及 IP端口号都在数据包的头部,很有可能被冒充或 窃取。
•第二条规则不能限制目标端口是因为主动的FTP客户端是不使用 20端口的。当一个主动的FTP客户端发起一个FTP会话时,客户 端是使用动态分配的端口号。而远程的FTP服务器只检查 192.168.1.0这个网络内端口为20的设备。有经验的黑客可以利 用这些规则非法访问内部网络中的任何资源。所以要对FTP包过 滤的规则加以相应修改
n 常用的应用级防火墙有相应的代理服务器, 应用级网关有较好的访问控制,但实现困难, 而且有的应用级网关缺乏“透明度”
7.2.2 应用级网关
n 应用层网关防火墙和 数据包过滤有一个共 同的特点,就是它们 仅仅依靠特定的逻辑 来判断是否允许数据 包通过。一旦符合条 件,防火墙内外的计 算机系统便可以建立 直接联系,外部的用 户便有可能直接了解 到防火墙内部的网络 结构和运行状态,这 大大增加了非法访问 和攻击的机会。
7.2 防火墙技术
目前大多数防火墙都采用几种技术相结合的形式 来保护网络不受恶意的攻击,其基本技术通常分 为两类: l 网络数据单元过滤 l 网络服务代理
7.2.1 数据包过滤
• 数据包过滤(Packet Filtering)技术是在网络 层对数据包进行分析、选 择,选择的依据是系统内 设置的过滤逻辑,称为访 问控制表(Access Control Table)。
n 状态检测模块截获、分析并处理所有试图通过防 火墙的数据包,保证网络的高度安全和数据完整。
n 网络和各种应用的通信状态动态存储、更新到动 态状态表中,结合预定义好的规则,实现安全策 略。
n 状态检测是检查OSI七层模型的所有层,以决定是 否过滤,而不仅仅是对网络层检测。
7.3 防火墙体系结构及其应用
• 防火墙通常是运行在一台单独计算机之上的一个特别的 服务软件,用来保护由许多台计算机组成的内部网络, 可以识别并屏蔽非法请求,有效防止跨越权限的数据访 问。防火墙可以是非常简单的过滤器,也可能是精心配 置的网关。但都可用于监测并过滤所有内部网和外部网 之间的信息交换。
• 防火墙保护着内部网络的敏感数据不被窃取和破坏,并 记录内外通信的有关状态信息日志,如通信发生的时间 和进行的操作等等。新一代的防火墙甚至可以阻止内部 人员将敏感数据向外传输,并对网络数据的流动实现有 效地管理。
n 状态检测将通过检查应用程序信息来判断此 端口是否需要临时打开,并当传输结束时, 端口马上恢复为关闭状态。
7.2.4 状态检测
n 状态检测防火墙克服了包过滤防火墙和应用代理 服务器的局限性,不要求每个被访问的应用都有 代理。
n 状态检测模块能够理解并学习各种协议和应用, 以支持各种最新的应用服务。
n 包检查是对IP头和传输层的头进行过滤,一 般要检查下面几项:
7.2.1 数据包过滤
l 源IP地址 l 目的IP地址 l TCP/UDP源端口 l TCP/UDP目的端口 l 协议类型(TCP包、UDP包、ICMP包) l TCP报头中的ACK位 l ICMP消息类型
7.2.1 数据包过滤
例如:若想禁止从Internet的远程登录到内部网 设备中,则需要建立一条包过滤规则。因为 Telnet服务是使用TCP协议的23端口,则禁止 Telnet的包过滤规则 为:
明显下降; n 每个应用程序都必须有一个代理服务程序来进行
安全控制,并随应用升级面升级。其适应性和连 接性都是有限的。
7.2.4 状态检测
n 状态检测是对包过滤功能的扩展。
n 传统的包过滤在用动态端口的协议时,事先 无法知道哪些端口需要打开,就会将所有可 能用到的端口打开,而这会给安全带来不必 要的隐患。
规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议
1
Discard *
*
23
*
TCP
2
Discard *
*
*
23
TCP
上表列出的信息是路由器丢弃所有从TCP23端口出去和进来 的数据包。其它所有的数据包都允许通过。
例如:FTP使用TCP的20和21端口。如果包过滤要禁止所有的 数据包只允许特殊的Байду номын сангаас据包通过。
7.1.2 防火墙的任务
防火墙应能够确保满足以下四个目标 :
1. 实现安全策略
防火墙的主要目的是强制执行人们所设计的安全 策略。比如,安全策略中只需对E-mail服务器的 SMTP流量作些限制,那么就要在防火墙中直接 设置并执行这一策略。
防火墙一般实施两个基本设计策略之一 :
nn
凡是没有明确表示允许的就要被禁止;
7.2.1 数据包过滤
规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议
1 Allow 192.168.1.0 *
*
21 TCP
2 Block * 192.168.1.0 20 <1024 TCP
3 Allow
* 192.168.1.0 20 *
TCP
ACK=1
▪第一条是允许网络地址为192.168.1.0内的任何主机与目标地址为 任意且端口为21建立TCP的会话连接。
网络管理与安全技术
2020/12/13
网络管理与安全技术
第7章 防火墙
防火墙作为网络安全的一种防护手段得 到了广泛的应用,已成为各企业网络中实 施安全保护的核心,安全管理员可以通过 其选择性地拒绝进出网络的数据流量,增 强了对网络的保护作用 。
网络管理与安全技术
7.1 防火墙基本概念
• 防火墙是位于两个信任程度不同的网络之间的软件或硬 件设备的组合,它对两个网络之间的通信进行控制,通 过强制实施统一的安全策略,防止对重要信息资源的非 法存取和访问,以达到保护系统安全的目的。
7.2.3 代理服务
n 应用代理服务器对客户 端的请求行使“代理” 职责。客户端连接到防 火墙并发出请求,然后 防火墙连接到服务器, 并代表这个客户端重复 这个请求。返回时数据 发送到代理服务器,然 后再传送给用户,从而 确 保 内 部 IP 地 址 和 口 令 不在Internet上出现。
7.2.3 代理服务
•第二条是阻止任何源端口为20的远程IP地址访问内部网络地址为 192.168.1.0且端口小于1024的任意主机。
•第三条规则是允许源端口为20的任意远程主机可以访问 192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执 行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则, 它会被立刻丢弃掉,第三条规则不会执行。但第三条规则仍然需要 是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允 许规则。
7.2.3 代理服务
n 应用代理服务技术能够将所有跨越防火墙的网络通 信链路分为两段。
n 防火墙内外计算机系统间应用层的连接是由两个代 理服务器之间的连接来实现,外部计算机的网络链 路只能到达代理服务器,从而起到隔离防火墙内外 计算机系统的作用。
n 另外,代理服务器也对过往的数据包进行分析、记 录、形成报告,当发现攻击迹象时会向网络管理员 发出警告,并保留攻击痕迹。
防火墙示意图
网络管理与安全技术
UF3500/3100防火墙应用 三端口NAT模式
交换机
防火墙UF3500/3100
路由器
PC
PC
集线器
WWW 服务器 FTP 服务器
Mail服务器
7.1.1 防火墙技术发展状况
n 自从1986年美国Digital公司在Internet上安装了全球 第一个商用防火墙系统后,防火墙技术得到了飞速的发 展。许多公司推出了功能不同的防火墙系统产品。
n 根 据 其 处 理 协 议 的 不 同 , 可 分 为 FTP 网 关 型 、 WWW网关型、Telnet网关型等防火墙,其优点 在于既能进行安全控制,又可加速访问,但实现 起来比较困难,对于每一种服务协议必须设计一 个代理软件模式,以进行安全控制。
3. 记录Internet活动
防火墙可以进行日志记录,并且提供警报功能。通过 在防火墙上实现日志服务,安全管理员可以监视所有从 外部网或互联网的访问。好的日志策略是实现网络安全 的有效工具之一。防火墙对于管理员进行日志存档提供 了更多的信息。
7.1.2 防火墙的任务
4. 保护内部网络
对于公网防火墙隐藏了内 部系统的一些信息以增 加其保密性。当远程节 点探测内部网络时,其 仅仅能看到防火墙。远 程节点不会知道内部网 络结构和资源。防火墙 以提高认证功能和对网 络加密来限制网络信息 的暴露,并通过对所有 输入的流量时行检查, 以限制从外部发动的攻 击。
防火墙体系结构通常分为四类:
l 屏蔽路由器(Screening Router)
l
屏 蔽 主 机 网 关 (Screened Host
7.2.3 代理服务
应用层代理主要的优点: n 支持用户认证并提供详细的注册信息; n 过滤规则相对于包过滤路由器更容易配置和测试; n 可提供详细的日志和安全审计功能; n 可以隐藏内部网的IP地址以保护内部主机不受外
部主机的进攻; n 内部网中的所有主机通过代理可以访问Internet。 应用层代理也有明显的缺点: n 应用层实现的防火墙会造成执行速度慢,其性能
7.2.2 应用级网关
n 应用层网关技术是 在网络的应用层上 实现协议过滤和转 发功能。它针对特 定的网络应用服务 协议使用指定的数 据过滤逻辑,并在 过滤的同时,对数 据包进行必要的分 析、记录和统计, 形成报告。实际的 应用网关通常安装 在专用工作站系统 上
7.2.2 应用级网关
n 应用级网关能够理解应用层上的协议,进行 复杂一些的访问控制。但每一种协议需要相 应的代理软件,使用时工作量大,效率不如 网络级防火墙。
n 第三代防火墙有效地提高了防火墙的安全性,称为状态 监控功能防火墙,它可以对每一层的数据包进行检测和 监控。
7.1.1 防火墙技术发展状况
n 第四代防火墙:1992年,开发出了基于动 态包过滤技术的第四代防火墙。
n 第五代防火墙:1998年,NAI公司推出了 一种自适应代理技术,可以称之为第五代 防火墙。
n 第一代防火墙,又称为包过滤防火墙,其主要通过对数 据包源地址、目的地址、端口号等参数来决定是否允许 该数据包通过或进行转发,但这种防火墙很难抵御IP地 址欺骗等攻击,而且审计功能很差。
n 第二代防火墙,也称代理服务器,它用来提供网络服务 级的控制,起到外部网络向被保护的内部网络申请服务 时中间转接作用,这种方法可以有效地防止对内部网络 的直接攻击,安全性较高。
nn
凡是没有明确表示禁止的就要被允许。
网络管理与安全技术
7.1.2 防火墙的任务
2. 创建检查点 n 防火墙在内部网络和公网间建立一个检查
点。 n 通过检查点防火墙设备可以监视、过滤和
检查所有进来和出去的流量。 n 网络管理员可以在检查点上集中实现安全
目的。
7.1.2 防火墙的任务
九运会信息网络系统已经受并成功地抵御了87万多次网络攻击
规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议
1 Allow 192.168.1.0 *
*
*
TCP
2 Allow *
192.168.1.0 20
*
TCP
•第一条是允许地址为192.168.1.0的网段内而其源端口和目的端 口为任意的主机进行TCP的会话。
•第二条是允许端口为20的任何远程IP地址都可以连接到 192.168.10.0的任意端口上。
• 通过检查数据流中每一个 数据包的源地址、目的地 址、所用端口号、协议状 态等因素,或它们的组合 来确定是否允许该数据包 通过。
7.2.1 数据包过滤
n 包过滤技术工作在OIS七层模型的网络层上 并有两个功能,即允许和阻止;
n 如果检查数据包所有的条件都符合规则,则 允许进行路由;如果检查到数据包的条件不 符合规则,则阻止通过并将其丢弃。
7.2.1 数据包过滤
n 包过滤防火墙的优点
速度快、逻辑简单、成本低、易于安装和使用,网 络性能和透明度好。它通常安装在路由器上,因 内部网络与Internet连接必须通过路由器,所以 在原有网络上增加这类防火墙,几乎不需要任何 额外的费用。
n 包过滤防火墙的缺点
不能对数据内容进行控制,缺乏用户级的授权;非 法访问一旦突破防火墙,即可对主机上的系统和 配置进行攻击。数据包的源地址、目的地址以及 IP端口号都在数据包的头部,很有可能被冒充或 窃取。
•第二条规则不能限制目标端口是因为主动的FTP客户端是不使用 20端口的。当一个主动的FTP客户端发起一个FTP会话时,客户 端是使用动态分配的端口号。而远程的FTP服务器只检查 192.168.1.0这个网络内端口为20的设备。有经验的黑客可以利 用这些规则非法访问内部网络中的任何资源。所以要对FTP包过 滤的规则加以相应修改
n 常用的应用级防火墙有相应的代理服务器, 应用级网关有较好的访问控制,但实现困难, 而且有的应用级网关缺乏“透明度”
7.2.2 应用级网关
n 应用层网关防火墙和 数据包过滤有一个共 同的特点,就是它们 仅仅依靠特定的逻辑 来判断是否允许数据 包通过。一旦符合条 件,防火墙内外的计 算机系统便可以建立 直接联系,外部的用 户便有可能直接了解 到防火墙内部的网络 结构和运行状态,这 大大增加了非法访问 和攻击的机会。
7.2 防火墙技术
目前大多数防火墙都采用几种技术相结合的形式 来保护网络不受恶意的攻击,其基本技术通常分 为两类: l 网络数据单元过滤 l 网络服务代理
7.2.1 数据包过滤
• 数据包过滤(Packet Filtering)技术是在网络 层对数据包进行分析、选 择,选择的依据是系统内 设置的过滤逻辑,称为访 问控制表(Access Control Table)。
n 状态检测模块截获、分析并处理所有试图通过防 火墙的数据包,保证网络的高度安全和数据完整。
n 网络和各种应用的通信状态动态存储、更新到动 态状态表中,结合预定义好的规则,实现安全策 略。
n 状态检测是检查OSI七层模型的所有层,以决定是 否过滤,而不仅仅是对网络层检测。
7.3 防火墙体系结构及其应用
• 防火墙通常是运行在一台单独计算机之上的一个特别的 服务软件,用来保护由许多台计算机组成的内部网络, 可以识别并屏蔽非法请求,有效防止跨越权限的数据访 问。防火墙可以是非常简单的过滤器,也可能是精心配 置的网关。但都可用于监测并过滤所有内部网和外部网 之间的信息交换。
• 防火墙保护着内部网络的敏感数据不被窃取和破坏,并 记录内外通信的有关状态信息日志,如通信发生的时间 和进行的操作等等。新一代的防火墙甚至可以阻止内部 人员将敏感数据向外传输,并对网络数据的流动实现有 效地管理。
n 状态检测将通过检查应用程序信息来判断此 端口是否需要临时打开,并当传输结束时, 端口马上恢复为关闭状态。
7.2.4 状态检测
n 状态检测防火墙克服了包过滤防火墙和应用代理 服务器的局限性,不要求每个被访问的应用都有 代理。
n 状态检测模块能够理解并学习各种协议和应用, 以支持各种最新的应用服务。
n 包检查是对IP头和传输层的头进行过滤,一 般要检查下面几项:
7.2.1 数据包过滤
l 源IP地址 l 目的IP地址 l TCP/UDP源端口 l TCP/UDP目的端口 l 协议类型(TCP包、UDP包、ICMP包) l TCP报头中的ACK位 l ICMP消息类型
7.2.1 数据包过滤
例如:若想禁止从Internet的远程登录到内部网 设备中,则需要建立一条包过滤规则。因为 Telnet服务是使用TCP协议的23端口,则禁止 Telnet的包过滤规则 为:
明显下降; n 每个应用程序都必须有一个代理服务程序来进行
安全控制,并随应用升级面升级。其适应性和连 接性都是有限的。
7.2.4 状态检测
n 状态检测是对包过滤功能的扩展。
n 传统的包过滤在用动态端口的协议时,事先 无法知道哪些端口需要打开,就会将所有可 能用到的端口打开,而这会给安全带来不必 要的隐患。
规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议
1
Discard *
*
23
*
TCP
2
Discard *
*
*
23
TCP
上表列出的信息是路由器丢弃所有从TCP23端口出去和进来 的数据包。其它所有的数据包都允许通过。
例如:FTP使用TCP的20和21端口。如果包过滤要禁止所有的 数据包只允许特殊的Байду номын сангаас据包通过。
7.1.2 防火墙的任务
防火墙应能够确保满足以下四个目标 :
1. 实现安全策略
防火墙的主要目的是强制执行人们所设计的安全 策略。比如,安全策略中只需对E-mail服务器的 SMTP流量作些限制,那么就要在防火墙中直接 设置并执行这一策略。
防火墙一般实施两个基本设计策略之一 :
nn
凡是没有明确表示允许的就要被禁止;
7.2.1 数据包过滤
规则号 功能 源IP地址 目标IP地址 源端口 目标端口 协议
1 Allow 192.168.1.0 *
*
21 TCP
2 Block * 192.168.1.0 20 <1024 TCP
3 Allow
* 192.168.1.0 20 *
TCP
ACK=1
▪第一条是允许网络地址为192.168.1.0内的任何主机与目标地址为 任意且端口为21建立TCP的会话连接。
网络管理与安全技术
2020/12/13
网络管理与安全技术
第7章 防火墙
防火墙作为网络安全的一种防护手段得 到了广泛的应用,已成为各企业网络中实 施安全保护的核心,安全管理员可以通过 其选择性地拒绝进出网络的数据流量,增 强了对网络的保护作用 。
网络管理与安全技术
7.1 防火墙基本概念
• 防火墙是位于两个信任程度不同的网络之间的软件或硬 件设备的组合,它对两个网络之间的通信进行控制,通 过强制实施统一的安全策略,防止对重要信息资源的非 法存取和访问,以达到保护系统安全的目的。
7.2.3 代理服务
n 应用代理服务器对客户 端的请求行使“代理” 职责。客户端连接到防 火墙并发出请求,然后 防火墙连接到服务器, 并代表这个客户端重复 这个请求。返回时数据 发送到代理服务器,然 后再传送给用户,从而 确 保 内 部 IP 地 址 和 口 令 不在Internet上出现。
7.2.3 代理服务
•第二条是阻止任何源端口为20的远程IP地址访问内部网络地址为 192.168.1.0且端口小于1024的任意主机。
•第三条规则是允许源端口为20的任意远程主机可以访问 192.168.1.0网络内主机任意端口。这些规则的应用是按照顺序执 行的。第三条看上去好像是矛盾的。如果任何包违反第二条规则, 它会被立刻丢弃掉,第三条规则不会执行。但第三条规则仍然需要 是因为包过滤对所有进来和出去的流量进行过滤直到遇到特定的允 许规则。
7.2.3 代理服务
n 应用代理服务技术能够将所有跨越防火墙的网络通 信链路分为两段。
n 防火墙内外计算机系统间应用层的连接是由两个代 理服务器之间的连接来实现,外部计算机的网络链 路只能到达代理服务器,从而起到隔离防火墙内外 计算机系统的作用。
n 另外,代理服务器也对过往的数据包进行分析、记 录、形成报告,当发现攻击迹象时会向网络管理员 发出警告,并保留攻击痕迹。
防火墙示意图
网络管理与安全技术
UF3500/3100防火墙应用 三端口NAT模式
交换机
防火墙UF3500/3100
路由器
PC
PC
集线器
WWW 服务器 FTP 服务器
Mail服务器
7.1.1 防火墙技术发展状况
n 自从1986年美国Digital公司在Internet上安装了全球 第一个商用防火墙系统后,防火墙技术得到了飞速的发 展。许多公司推出了功能不同的防火墙系统产品。