网络安全,防火墙技术

PPT文档演模板
网络安全,防火墙技术
8.2.2 代理技术
代理的优点
n 代理易于配置 n 代理能生成各项记录 n 代理能灵活、完全地控制进出信息 n 代理能过滤数据内容
PPT文档演模板
网络安全,防火墙技术
8.2.2 代理技术
代理的缺点：
n 代理速度比路由器慢 n 代理对用户不透明 n 对于每项服务，代理可能要求不同的服务器 n 代理服务通常要求对客户或过程进行限制 n 代理服务受协议弱点的限制 n 代理不能改进底层协议的安全性
和非法用户； n 防止入侵者接近内部网络的防御设施，对网络攻击进行
检测和告警； n 限制内部用户访问特殊站点； n 记录通过防火墙的信息内容和活动，监视Internet安全
提供方便。
PPT文档演模板
网络安全,防火墙技术
8.1.3 防火墙的优、缺点
1．优点 防火墙是加强网络安全的一种有效手段，
它有以下优点：
PPT文档演模板
网络安全,防火墙技术
8.4.2 嵌入式防火墙
n 目前分布式防火墙主要是以软件形式出现的，也有一些网 络设备开发商（如3COM、CISCO等）开发生产了硬件分布 式防火墙，做成PCI卡或PCMCIA卡的形式，将分布式防火 墙技术集成在硬件上（一般可以兼有网卡的功能），通常 称之为嵌入式防火墙。
PPT文档演模板
网络安全,防火墙技术
8.3 防火墙体系结构
n 8.3.1 双重宿主主机结构 n 8.3.2 屏蔽主机结构 n 8.3.3 屏蔽子网结构 n 8.3.4 防火墙的组合结构
PPT文档演模板
网络安全,防火墙技术
8.3.1 双重宿主主机结构
双重宿主主机结构是围绕双宿主机来构筑的。 n 双宿主机（Dual-homed host），又称堡垒主机
PPT文档演模板
网络安全,防火墙技术
8.4.1 分布式防火墙
分布式防火墙的主要特点
n 主机驻留 n 嵌入操作系统内核 n 类似于个人防火墙 n 适用于服务器托管
PPT文档演模板
网络安全,防火墙技术
8.4.1 分布式防火墙
分布式防火墙的优势
n 增强的系统安全性 n 提高了系统性能 n 系统的扩展性 n 应用更为广泛，支持VPN通信
PPT文档演模板
网络安全,防火墙技术
8.5 防火墙产品介绍
n 8.5.1 FireWall-1 n 8.5.2 天网防火墙
PPT文档演模板
网络安全,防火墙技术
8.5.1 FireWall-1
Check Point公司的系列防火墙产品可用于各种平 台上，其中Firewall-1是最为流行、市场占有率最高的 一种。据IDC的最近统计，FireWall-1防火墙在市场占 有率上已超过32%，《财富》排名前100的大企业里近 80%选用了FireWall-1防火墙。
n 它们对个人计算机进行保护的方式如同边界防火墙对 整个网络进行保护一样。
PPT文档演模板
网络安全,防火墙技术
8.4.1 分布式防火墙
分布式防火墙体系结构
分布式防火墙包含以下三个部分： n 网络防火墙（Network Firewall） n 主机防火墙（Host Firewall） n 中心管理（Central Management）
PPT文档演模板
网络安全,防火墙技术
3rew
演讲完毕，谢谢听讲!
再见，see you again
PPT文档演模板
2020/12/13
网络安全,防火墙技术
n 嵌入式防火墙的代表产品是3Com公司的3Com 10/100安全 服务器网卡（3Com 10/100 Secure Server NIC）、3Com 10/100安全网卡（3Com 10/100 Secure NIC）以及3Com公 司嵌入式防火墙策略服务器 （3Com Embedded Firewall Policy Server）。
n 不能防范恶意的内部用户； n 不能防范不通过防火墙的连接； n 不能防范全部的威胁； n 防火墙不能防范病毒；
PPT文档演模板
网络安全,防火墙技术
8.2 防火墙技术分类
n 8.2.1 包过滤技术 n 8.2.2 代理技术 n 8.2.3 防火墙技术的发展趋势
PPT文档演模板
网络安全,防火墙技术
可信任的、外部用户是可疑的
PPT文档演模板
网络安全,防火墙技术
8.2.1 包过滤技术
包过滤防火墙的发展阶段Байду номын сангаас
n 第一代：静态包过滤防火墙 n 第二代：动态包过滤（Dynamic Packet Filter）防火墙 n 第三代：全状态检测（Stateful Inspection）防火墙 n 第四代：深度包检测（Deep Packet Inspection）防火墙
双重宿主主机结构
PPT文档演模板
网络安全,防火墙技术
8.3.2 屏蔽主机结构
n 屏蔽主机结构（Screened Host Gateway），又称主机过 滤结构。
n 屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能 的屏蔽路由器；
n 屏蔽路由器连接外部网络，堡垒主机安装在内部网络上；
n 通常在路由器上设立过滤规则，并使这个堡垒主机成为 从外部网络唯一可直接到达的主机；
PPT文档演模板
网络安全,防火墙技术
8.4.3 个人防火墙
n 个人防火墙是安装在个人计算机里的一段程序，把个 人计算机和Internet分隔开。
n 它检查进出防火墙的所有数据包，决定该拦截这个包 还是将其放行。
n 在不妨碍正常上网浏览的同时，阻止Internet上的其 他用户对个人计算机进行的非法访问。
PPT文档演模板
网络安全,防火墙技术
8.4.1 分布式防火墙
n 分布式防火墙是一种全新的防火墙概念，是比较完善 的一种防火墙技术，它是在边界防火墙的基础上开发 的，目前主要以软件形式出现。
n 分布式防火墙是一种主机驻留式的安全系统，用以保 护内部网络免受非法入侵的破坏。
n 分布式防火墙把Internet和内部网络均视为“不友好 的”，对所有的信息流进行过滤与限制，无论是来自 Internet，还是来自内部网络。
n 一个屏蔽路由器能保护整个网络 n 包过滤对用户透明 n 屏蔽路由器速度快、效率高
PPT文档演模板
网络安全,防火墙技术
8.2.1 包过滤技术
包过滤防火墙的缺点：
n 它没有用户的使用记录，这样就不能从访问记录中 发现黑客的攻击记录
n 没有一定的经验，是不可能将过滤规则配置得完美 n 不能在用户级别上进行过滤，只能认为内部用户是
PPT文档演模板
网络安全,防火墙技术
8.1.1 相关概念
防火墙的概念 n 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一
道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内 部网络的安全。
PPT文档演模板
网络安全,防火墙技术
8.1.1 相关概念
其它概念:
n 外部网络（外网） n 内部网络（内网） n 非军事化区（DMZ） n 包过滤 n 代理服务器 n 状态检测技术 n 虚拟专用网（VPN） n 漏洞 n 数据驱动攻击 n IP地址欺骗
n 防火墙能强化安全策略； n 防火墙能有效地记录Internet上的活动； n 防火墙是一个安全策略的检查站。
PPT文档演模板
网络安全,防火墙技术
8.1.3 防火墙的优、缺点
2．缺点
有人认为只要安装了防火墙，所有的安全问题就 会迎刃而解。但事实上，防火墙并不是万能的，安装 了防火墙的系统仍然存在着安全隐患。以下是防火墙 的一些缺点：
PPT文档演模板
网络安全,防火墙技术
8.2.2 代理技术
代理防火墙的发展阶段：
n 应用层代理（Application Proxy） n 电路层代理（Circuit Proxy） n 自适应代理（Adaptive Proxy）
PPT文档演模板
网络安全,防火墙技术
8.2.3 防火墙技术的发展趋势
代理服务器在对应用层的数据过滤方面能力优于包 过滤防火墙，但是在性能方面的表现就会大大逊色。 总体来说，传统的防火墙已经无法满足人们的安全需 求，其功能不足以应付众多的安全威胁。 发展趋势： n 功能融合 n 集成化管理 n 分布式体系结构
n 入侵者要想入侵内部网络，必须过屏蔽路由器和堡垒主 机两道屏障，所以屏蔽主机结构比双重宿主主机结构具 有更好的安全性和可用性。
PPT文档演模板
网络安全,防火墙技术
8.3.2 屏蔽主机结构
屏蔽主机结构
PPT文档演模板
网络安全,防火墙技术
8.3.3 屏蔽子网结构
n 屏蔽子网结构（Screened Subnet），它是在 屏蔽主机结构的基础上添加额外的安全层，即 通过添加周边网络（即屏蔽子网）更进一步地 把内部网络与外部网络隔离开。
PPT文档演模板
网络安全,防火墙技术
8.2.2 代理技术
n 所谓代理服务器，是指代表内网用户向外网服务器进行 连接请求的服务程序。
n 代理服务器运行在两个网络之间，它对于客户机来说像 是一台真的服务器，而对于外网的服务器来说，它又是 一台客户机。
n 代理服务器的基本工作过程是：当客户机需要使用外网 服务器上的数据时，首先将请求发给代理服务器，代理 服务器再根据这一请求向服务器索取数据，然后再由代 理服务器将数据传输给客户机。
网络安全,防火墙技术
PPT文档演模板
2020/12/13
网络安全,防火墙技术
本章学习目标
n 防火墙及相关概念 n 包过滤与代理 n 防火墙的体系结构 n 分布式防火墙与嵌入式防火墙
PPT文档演模板
网络安全,防火墙技术
8.1 防火墙概述
n 8.1.1 相关概念 n 8.1.2 防火墙的作用 n 8.1.3 防火墙的优、缺点
（Bastion host），是一台至少配有两个网络接 口的主机，它可以充当与这些接口相连的网络 之间的路由器，在网络之间发送数据包。 n 一般情况下双宿主机的路由功能是被禁止的， 这样可以隔离内部网络与外部网络之间的直接 通信，从而达到保护内部网络的作用。
PPT文档演模板
网络安全,防火墙技术
8.3.1 双重宿主主机结构
n 使用多堡垒主机； n 合并内部路由器与外部路由器； n 合并堡垒主机与外部路由器； n 合并堡垒主机与内部路由器； n 使用多台内部路由器； n 使用多台外部路由器； n 使用多个周边网络； n 使用双重宿主主机与屏蔽子网。
PPT文档演模板
网络安全,防火墙技术
8.4 内部防火墙
n 8.4.1 分布式防火墙（Distributed Firewall） n 8.4.2 嵌入式防火墙（Embedded Firewall） n 8.4.3 个人防火墙
PPT文档演模板
网络安全,防火墙技术
8.1.1 相关概念
防火墙安全策略 一个防火墙应该使用以下两种基本策略中的一种:
n 除非明确允许，否则就禁止 n 除非明确禁止，否则就允许
PPT文档演模板
网络安全,防火墙技术
8.1.2 防火墙的作用
防火墙的基本功能
从总体上看，防火墙应具有以下基本功能： n 可以限制未授权用户进入内部网络，过滤掉不安全服务
n 屏蔽子网结构包含外部和内部两个路由器。两 个屏蔽路由器放在子网的两端，在子网内构成 一个“非军事区”DMZ。
PPT文档演模板
网络安全,防火墙技术
8.3.3 屏蔽子网结构
屏蔽子网结构
PPT文档演模板
网络安全,防火墙技术
8.3.4 防火墙的组合结构
建造防火墙时，一般很少采用单一的结构，通常 是多种结构的组合。一般有以下几种形式：
8.2.1 包过滤技术
包过滤（Packet Filtering）技术在网络层中对数据 包实施有选择的通过，依据系统事先设定好的过滤规 则，检查数据流中的每个包，根据包头信息来确定是 否允许数据包通过，拒绝发送可疑的包。
PPT文档演模板
网络安全,防火墙技术
8.2.1 包过滤技术
包过滤防火墙具有明显的优点：