防火墙技术及其应用PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Page:34 01.08.2020
防火墙技术及其应用
工作原理
• 包过滤路由器对所接收的每个数据包做允许拒绝的决定。 • 路由器审查每个数据报以便确定其是否与某一条包过滤规则
匹配。 • 如果有匹配并且规则允许该数据包,那么该数据包就会按照
路由表中的信息被转发。 • 如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。
– 不能防范恶意的知情者 – 不能防范不通过它的连接 – 不能防范全新的威胁 – 不能有效地防范数据驱动式的攻击 – 当使用端-端加密时,其作用会受到很大的限制
Page:27 01.08.2020
防火墙技术及其应用
• 基本概念 • 防火墙配置模式 • 防火墙相关技术 • 几个新的方向
报告内容
防火墙简图
防火墙技术及其应用
防火墙体系结构
• 包过滤路由器 • 单宿/多宿主机模式 (dual-homed/multi-homed) • 屏蔽主机模式 • 屏蔽子网模式
Page:32 01.08.2020
防火墙技术及其应用
包过滤路由器
Page:33 01.08.2020
防火墙技术及其应用
包过滤路由器
• 最常见的防火墙是放在Internet和内部网络之间的包过滤路由 器。
防火墙技术及其应用
整体 概述
一 请在这里输入您的主要叙述内容
二
请在这里输入您的主要 叙述内容
三 请在这里输入您的主要叙述内容
• 基本概念
报告内容
• 防火墙配置模式
• 防火墙相关技术
• 几个新的方向
Page:3 01.08.2020
防火墙技术及其应用
基本概念
• 防火墙定义 • 为什么需要防火墙 • 对防火墙的两大需求 • 防火墙系统四要素 • 防火墙技术的发展过程 • 引入防火墙技术的好处 • 争议及不足
防火墙技术及其应用
为什么需要防火墙
Page:19 01.08.2020
防火墙技术及其应用
Why Security is Harder than it Looks
所有软件都是有错的 通常情况下99.99%无错的程序很少会出问题
wk.baidu.com
同安全相关的99.99%无错的程序可以确信会被 人利用那0.01%的错误
Filter
Filter
Inside
Gateway(s)
Outside
Page:29 01.08.2020
防火墙技术及其应用
防火墙的位置
Page:30 01.08.2020
防火墙技术及其应用
默认安全策略
• 没有明确禁止的行为都是允许的 • 没有明确允许的行为都是禁止的
Page:31 01.08.2020
防火墙系统四要素
Page:24 01.08.2020
防火墙技术及其应用
防火墙技术发展过程
• 20世纪70年代和80年代,多级系统和安全模型吸引了大量的研究 • 屏蔽路由器、网关 • 防火墙工具包 • 商业产品防火墙 • 新的发展
Page:25 01.08.2020
防火墙技术及其应用
防火墙技术带来的好处
• 强化安全策略 • 有效地记录Internet上的活动 • 隔离不同网络,限制安全问题扩散 • 是一个安全策略的检查站
Page:26 01.08.2020
防火墙技术及其应用
争议及不足
• 使用不便,认为防火墙给人虚假的安全感
• 对用户不完全透明,可能带来传输延迟、瓶颈及单点失效
• 不能替代墙内的安全措施
0.01%安全问题等于100%的失败
Page:20 01.08.2020
防火墙技术及其应用
内部网特点
• 组成结构复杂 • 各节点通常自主管理 • 信任边界复杂,缺乏有效管理 • 有显著的内外区别 • 机构有整体的安全需求 • 最薄弱环节原则
Page:21 01.08.2020
防火墙技术及其应用
为什么需要防火墙
• 保护内部不受来自Internet的攻击 • 为了创建安全域 • 为了增强机构安全策略
Page:22 01.08.2020
防火墙技术及其应用
对防火墙的两大需求
• 保障内部网安全 • 保证内部网同外部网的连通
Page:23 01.08.2020
防火墙技术及其应用
• 安全策略 • 内部网 • 外部网 • 技术手段
防火墙技术及其应用
Page:6 01.08.2020
防火墙技术及其应用
Page:7 01.08.2020
DATA TCP DATA IP TCP DATA
防火墙技术及其应用
Page:8 01.08.2020
防火墙技术及其应用
IP TCP DATA
Page:9 01.08.2020
IP TCP DATA
如果没有匹配规则,用户配置的缺省参数会决定是转发还是 丢弃数据包。
Page:35 01.08.2020
防火墙技术及其应用
过滤规则
• 过滤规则基于可以提供给IP转发过程的包头信息。 • 包头信息中包括IP源地址、IP目标端F地址、内装协(ICP、
Page:4 01.08.2020
防火墙技术及其应用
防火墙定义
• 防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集 合,它满足以下条件:
– 内部和外部之间的所有网络数据流必须经过防火墙
– 只有符合安全政策的数据流才能通过防火墙
– 防火墙自身应对渗透(peneration)免疫
Page:5 01.08.2020
防火墙技术及其应用
IP TCP 目标不可达
Page:10 01.08.2020
防火墙技术及其应用
Page:11 01.08.2020
IP TCP 目标不可达
防火墙技术及其应用
Page:12 01.08.2020
IP TCP DATA
防火墙技术及其应用
IP TCP DATA
Page:13 01.08.2020
防火墙技术及其应用
IP TCP DATA
Page:14 01.08.2020
防火墙技术及其应用
Page:15 01.08.2020
防火墙技术及其应用
Page:16 01.08.2020
防火墙技术及其应用
Page:17 01.08.2020
防火墙技术及其应用
Page:18 01.08.2020
• 包过滤路由器在网络之间完成数据包转发的普通路由功能, 并利用包过滤规则来允许或拒绝数据包。
• 一般情况下,是这样来定义过滤规则的:内部网络上的主机 可以直接访问Internet,Internet上的主机对内部网络上的主 机进行访问是有限制的。
• 这种类型的防火墙系统的默认安全策略是对没有特别允许的 外部数据包都拒绝。