《《防火墙技术 》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《防火墙技术 》PPT课件.ppt(56页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第九章防火墙技术第九章防火墙技术第九章防火墙技术第九章防火墙技术9.1防火墙技术概述防火墙技术概述9.2防火墙技术防火墙技术9.3防火墙设计实例防火墙设计实例第九章防火墙技术第九章防火墙技术本章学习目标本章学习目标(1)了了解解防防火火墙墙的的定定义义、发发展展简简史史、目目的的、功功能、局限性及其发展动态和趋势。能、局限性及其发展动态和趋势。(2)掌掌握握包包过过滤滤防防火火墙墙和和和和代代理理防防火火墙墙的的实实现现原原理理、技技术术特特点点和和实实现现方方式式;熟熟悉悉防防火火墙墙的的常常见见体系结构。体系结构。(3)熟悉防火墙的产品选购和设计策略。)熟悉防火墙的产品选购和设计策略。返回
2、本章首页第九章防火墙技术第九章防火墙技术9.1防火墙技术概述防火墙技术概述9.1.1防火墙的定义防火墙的定义9.1.2防火墙的发展简史防火墙的发展简史9.1.3设置防火墙的目的和功能设置防火墙的目的和功能9.1.4防火墙的局限性防火墙的局限性9.1.5防火墙技术发展动态和趋势防火墙技术发展动态和趋势返回本章首页第九章防火墙技术第九章防火墙技术9.1.1防火墙的定义防火墙的定义防防火火墙墙是是设设置置在在被被保保护护网网络络和和外外部部网网络络之之间间的的一一道道屏屏障障,实实现现网网络络的的安安全全保保护护,以以防防止止发发生生不不可可预预测测的的、潜潜在在破破坏坏性性的的侵侵入入。防防火火墙
3、墙本本身身具具有有较较强强的的抗抗攻攻击击能能力力,它它是是提提供供信信息息安安全全服服务务、实实现现网网络络和和信信息息安安全全的的基基础础设设施施。图图9.1为为防防火火墙示意图。墙示意图。第九章防火墙技术第九章防火墙技术图图9.1防火墙示意图防火墙示意图返回本节第九章防火墙技术第九章防火墙技术9.1.2防火墙的发展简史防火墙的发展简史第第一一代代防防火火墙墙:采采用用了了包包过过滤滤(Packet Filter)技术。技术。第第二二、三三代代防防火火墙墙:1989年年,推推出出了了电电路路层层防防火墙,和应用层防火墙的初步结构。火墙,和应用层防火墙的初步结构。第第四四代代防防火火墙墙:1
4、992年年,开开发发出出了了基基于于动动态态包包过滤技术的第四代防火墙。过滤技术的第四代防火墙。第第五五代代防防火火墙墙:1998年年,NAI公公司司推推出出了了一一种种自适应代理技术,可以称之为第五代防火墙。自适应代理技术,可以称之为第五代防火墙。第九章防火墙技术第九章防火墙技术图图9.2防火墙技术的简单发展历史防火墙技术的简单发展历史返回本节第九章防火墙技术第九章防火墙技术9.1.3设置防火墙的目的和功能设置防火墙的目的和功能(1)防火墙是网络安全的屏障)防火墙是网络安全的屏障(2)防火墙可以强化网络安全策略)防火墙可以强化网络安全策略(3)对网络存取和访问进行监控审计)对网络存取和访问进
5、行监控审计(4)防止内部信息的外泄)防止内部信息的外泄返回本节第九章防火墙技术第九章防火墙技术9.1.4防火墙的局限性防火墙的局限性(1)防火墙防外不防内。)防火墙防外不防内。(2)防火墙难于管理和配置,易造成安全漏洞。)防火墙难于管理和配置,易造成安全漏洞。(3)很很难难为为用用户户在在防防火火墙墙内内外外提提供供一一致致的的安安全全策略。策略。(4)防火墙只实现了粗粒度的访问控制。)防火墙只实现了粗粒度的访问控制。返回本节第九章防火墙技术第九章防火墙技术9.1.5防火墙技术发展动态和趋势防火墙技术发展动态和趋势(1)优良的性能)优良的性能(2)可扩展的结构和功能)可扩展的结构和功能(3)简
6、化的安装与管理)简化的安装与管理(4)主动过滤)主动过滤(5)防病毒与防黑客)防病毒与防黑客返回本节第九章防火墙技术第九章防火墙技术9.2防火墙技术防火墙技术9.2.1防火墙的技术分类防火墙的技术分类9.2.2防火墙的主要技术及实现方式防火墙的主要技术及实现方式9.2.3防火墙的常见体系结构防火墙的常见体系结构返回本章首页第九章防火墙技术第九章防火墙技术9.2.1防火墙的技术分类防火墙的技术分类1包过滤防火墙包过滤防火墙2代理防火墙代理防火墙3两种防火墙技术的对比两种防火墙技术的对比第九章防火墙技术第九章防火墙技术1包过滤防火墙包过滤防火墙(1)数数据据包包过过滤滤技技术术的的发发展展:静静态
7、态包包过过滤滤、动动态包过滤。态包过滤。(2)包包过过滤滤的的优优点点:不不用用改改动动应应用用程程序序、一一个个过过滤滤路路由由器器能能协协助助保保护护整整个个网网络络、数数据据包包过过滤滤对对用户透明、过滤路由器速度快、效率高。用户透明、过滤路由器速度快、效率高。第九章防火墙技术第九章防火墙技术(3)包包过过滤滤的的缺缺点点:不不能能彻彻底底防防止止地地址址欺欺骗骗;一一些些应应用用协协议议不不适适合合于于数数据据包包过过滤滤;一一些些应应用用协协议议不不适适合合于于数数据据包包过过滤滤;正正常常的的数数据据包包过过滤滤路路由由器器无无法法执执行行某某些些安安全全策策略略;安安全全性性较较
8、差差;数数据据包包工具存在很多局限性。工具存在很多局限性。第九章防火墙技术第九章防火墙技术图9.3包过滤处理第九章防火墙技术第九章防火墙技术图9.4静态包过滤防火墙第九章防火墙技术第九章防火墙技术图9.5动态包过滤防火墙第九章防火墙技术第九章防火墙技术(1)代理防火墙的原理:)代理防火墙的原理:代代理理防防火火墙墙通通过过编编程程来来弄弄清清用用户户应应用用层层的的流流量量,并并能能在在用用户户层层和和应应用用协协议议层层间间提提供供访访问问控控制制;而而且且,还还可可用用来来保保持持一一个个所所有有应应用用程程序序使使用用的的记记录录。记记录录和和控控制制所所有有进进出出流流量量的的能能力力
9、是是应应用用层层网网关关的的主主要要优优点点之之一一。代代理理防防火火墙墙的的工工作作原原理理如如图图9.6所示。所示。2代理防火墙代理防火墙第九章防火墙技术第九章防火墙技术(2)应用层网关型防火墙:)应用层网关型防火墙:主主要要保保存存Internet上上那那些些最最常常用用和和最最近近访访问问过过的的内内容容:在在Web上上,代代理理首首先先试试图图在在本本地地寻寻找找数数据据,如如果果没没有有,再再到到远远程程服服务务器器上上去去查查找找。为为用用户户提提供供了了更更快快的的访访问问速速度度,并并且且提提高高了了网网络络安安全全性性。应应用用层层网网关关的的工工作作原原理理如如图图9.7
10、所所示示。应应用用层层网网关关防防火火墙墙最最突突出出的的优优点点就就是是安安全全,缺缺点点就就是速度相对比较慢。是速度相对比较慢。第九章防火墙技术第九章防火墙技术(3)电路层网关防火墙)电路层网关防火墙在在电电路路层层网网关关中中,包包被被提提交交用用户户应应用用层层处处理理。电电路路层层网网关关用用来来在在两两个个通通信信的的终终点点之之间间转转换换包包,如如图图9.8所所示示。电电路路层层网网关关防防火火墙墙的的工工作作原原理理如如图图9.9所所示示电电路路层层网网关关防防火火墙墙的的特特点点是是将将所所有有跨跨越越防防火墙的网络通信链路分为两段。火墙的网络通信链路分为两段。第九章防火墙
11、技术第九章防火墙技术(4)代理技术的优点代理技术的优点1)代理易于配置。代理易于配置。2)代理能生成各项记录。代理能生成各项记录。3)代理能灵活、完全地控制进出流量、内容。)代理能灵活、完全地控制进出流量、内容。4)代理能过滤数据内容。代理能过滤数据内容。5)代理能为用户提)代理能为用户提供透明的加密机制。供透明的加密机制。6)代理可以方便地与其他)代理可以方便地与其他安全手段集成。安全手段集成。第九章防火墙技术第九章防火墙技术(5)代理技术的缺点)代理技术的缺点1)代理速度较路由器慢。)代理速度较路由器慢。2)代理对用户不透代理对用户不透明。明。3)对于每项服务代理可能要求不同的服务)对于每
12、项服务代理可能要求不同的服务器。器。4)代理服务不能保证免受所有协议弱点的)代理服务不能保证免受所有协议弱点的限制。限制。5)代理不能改进底层协议的安全性。)代理不能改进底层协议的安全性。第九章防火墙技术第九章防火墙技术图9.6代理的工作方式第九章防火墙技术第九章防火墙技术图9.7应用层网关防火墙第九章防火墙技术第九章防火墙技术图9.8电路层网关第九章防火墙技术第九章防火墙技术图9.9电路层网关防火墙第九章防火墙技术第九章防火墙技术表表9.1两种防火墙技术两种防火墙技术 3两种防火墙技术的对比两种防火墙技术的对比返回本节第九章防火墙技术第九章防火墙技术9.2.2防火墙的主要技术及实现方式防火墙
13、的主要技术及实现方式1双端口或三端口的结构双端口或三端口的结构2透明的访问方式透明的访问方式3灵活的代理系统灵活的代理系统4多级的过滤技术多级的过滤技术5网络地址转换技术(网络地址转换技术(NAT)6网络状态监视器网络状态监视器第九章防火墙技术第九章防火墙技术7Internet网关技术网关技术8安全服务器网络(安全服务器网络(SSN)9用户鉴别与加密用户鉴别与加密10用户定制服务用户定制服务11审计和告警审计和告警12应用网关代理应用网关代理第九章防火墙技术第九章防火墙技术13回路级代理服务器回路级代理服务器14代管服务器代管服务器15IP通道(通道(IP Tunnels)16隔隔离离域域名名
14、服服务务器器(Split Domain Name Sever)17邮件转发技术(邮件转发技术(Mail Forwarding)返回本节第九章防火墙技术第九章防火墙技术9.2.3防火墙的常见体系结构防火墙的常见体系结构 1屏蔽路由器屏蔽路由器(如图9.10所示)2双穴主机网关双穴主机网关(如图9.11所示)3屏蔽主机网关屏蔽主机网关(如图9.12所示)4被屏蔽子网被屏蔽子网(如图9.13所示)第九章防火墙技术第九章防火墙技术图9.10屏蔽路由器示意图第九章防火墙技术第九章防火墙技术图9.11双穴主机网关示意图第九章防火墙技术第九章防火墙技术图9.12屏蔽主机网关示意图第九章防火墙技术第九章防火墙
15、技术图图9.13被屏蔽子网防火墙示意图被屏蔽子网防火墙示意图返回本节第九章防火墙技术第九章防火墙技术9.3防火墙设计实例防火墙设计实例9.3.1防火墙产品选购策略防火墙产品选购策略9.3.2典型防火墙产品介绍典型防火墙产品介绍9.3.3防火墙设计策略防火墙设计策略9.3.4Windows 2000环境下防火墙及环境下防火墙及NAT的实现的实现返回本章首页第九章防火墙技术第九章防火墙技术9.3.1防火墙产品选购策略防火墙产品选购策略1防火墙的安全性防火墙的安全性2防火墙的高效性防火墙的高效性3防火墙的适用性防火墙的适用性4防火墙的可管理性防火墙的可管理性5完善及时的售后服务体系完善及时的售后服务
16、体系返回本节第九章防火墙技术第九章防火墙技术9.3.2典型防火墙产品介绍典型防火墙产品介绍13Com Office Connect Firewall新新增增的的网网络络管管理理模模块块使使技技术术经经验验有有限限的的用用户也能保障他们的商业信息的安全。户也能保障他们的商业信息的安全。Office Connect Internet Firewall 25使使用用全全静静态态数数据据包包检检验验技技术术来来防防止止非非法法的的网网络络接接入入和和防防止止来来自自Internet的的“拒拒绝绝服服务务”攻攻击击,它它还还可以限制局域网用户对可以限制局域网用户对Internet的不恰当使用。的不恰当使
17、用。第九章防火墙技术第九章防火墙技术 Office Connect Internet Firewall DMZ可可支支持持多多达达100个个局局域域网网用用户户,这这使使局局域域网网上上的的公公共共服服务务器器可可以以被被Internet访访问问,又又不不会会使使局域网遭受攻击。局域网遭受攻击。3Com公公司司所所有有的的防防火火墙墙产产品品很很容容易易通通过过 Getting Started Wizard 进进行行安安装装。它它们们使使整整个个办办公公室室可可以以共共享享ISP提提供供的的一一个个IP地地址址,因因而而节省开支。节省开支。第九章防火墙技术第九章防火墙技术2Cisco PIX防
18、火墙防火墙(1)实时嵌入式操作系统。实时嵌入式操作系统。(2)保保护护方方案案基基于于自自适适应应安安全全算算法法(ASA),可以确保最高的安全性。可以确保最高的安全性。(3)用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。(4)最多支持最多支持250 000个同时连接。个同时连接。(5)URL过滤。过滤。第九章防火墙技术第九章防火墙技术(6)HP Open View集成。集成。(7)通通过过电电子子邮邮件件和和寻寻呼呼机机提提供供报报警警和和告告警警通通知。知。(8)通过专用链路加密卡提供通过专用链路加密卡提供VPN支持。支持。(9)符符合合委委托托技技术术评评估估计计划划(
19、TTAP),经经过过了了美美国国安安全全事事务务处处(NSA)的的认认证证,同同时时通通过过中中国国公安部安全检测中心的认证(公安部安全检测中心的认证(PIX520除外)。除外)。返回本节第九章防火墙技术第九章防火墙技术9.3.3防火墙设计策略防火墙设计策略1防火墙的系统环境防火墙的系统环境取消危险的系统调用;限制命令的执行权限;取消危险的系统调用;限制命令的执行权限;取消取消IP的转发功能;检查每个分组的接口;采用的转发功能;检查每个分组的接口;采用随机连接序号;驻留分组过滤模块;取消动态路随机连接序号;驻留分组过滤模块;取消动态路由功能;采用多个安全内核等等。由功能;采用多个安全内核等等。
20、第九章防火墙技术第九章防火墙技术2设置防火墙的要素设置防火墙的要素高高级级的的网网络络策策略略定定义义允允许许和和禁禁止止的的服服务务以以及及如如何何使使用用服服务务,低低级级的的网网络络策策略略描描述述防防火火墙墙如如何何限限制制和过滤在高级策略中定义的服务。和过滤在高级策略中定义的服务。第九章防火墙技术第九章防火墙技术3服务访问策略服务访问策略允允许许通通过过增增强强认认证证的的用用户户在在必必要要的的情情况况下下从从Internet访访问问某某些些内内部部主主机机和和服服务务;允允许许内内部部用用户访问指定的户访问指定的Internet主机和服务。主机和服务。第九章防火墙技术第九章防火墙
21、技术4防火墙设计策略防火墙设计策略允许任何服务除非被明确禁止;禁止任何服务除允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用,非被明确允许。第一种的特点是安全但不好用,第二种是好用但不安全,通常采用第二种类型的第二种是好用但不安全,通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。设计策略。而多数防火墙都在两种之间采取折衷。返回本节第九章防火墙技术第九章防火墙技术9.3.4Windows2000环境下防火墙及环境下防火墙及NAT的实现的实现1实现方法实现方法通过网络地址转换把内部地址转换成统一的通过网络地址转换把内部地址转换成统一的外部地址,避免
22、了使用代理服务所引起的账号安外部地址,避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务避免各种代理服务端口探测和其他各种常用服务端口的探测,可以启用端口的探测,可以启用Microsoft Proxy Server的动态包过滤功能和的动态包过滤功能和IP分段过滤,达到分段过滤,达到端口隐形的效果。端口隐形的效果。第九章防火墙技术第九章防火墙技术2案例环境案例环境假假定定有有一一台台Web服服务务器器(WWW),地地址址为为,其其完完整整域域名名为为:,对对应应解解析析的的IP地地址址为为
23、,在在其其上上装装有有两两块块网网卡卡,命命名名为为本本地地连连接接1和和本本地地连连接接2,它们的它们的IP地址分别为:和。地址分别为:和。第九章防火墙技术第九章防火墙技术3MS Windows 2000 NAT网网络络地地址址转转换换的的实实现现(1)路由和远程访问服务)路由和远程访问服务(2)网网络络地地址址转转换换的的实实现现:静静态态路路由由、网网络络地地址址转换、地址和特殊端口、转换、地址和特殊端口、IP地址欺骗过滤。地址欺骗过滤。第九章防火墙技术第九章防火墙技术表9.2地址和特殊端口配置第九章防火墙技术第九章防火墙技术表表9.3内部地址欺骗过滤内部地址欺骗过滤配置配置第九章防火墙
24、技术第九章防火墙技术表表9.4外部地址欺骗过滤外部地址欺骗过滤配置配置第九章防火墙技术第九章防火墙技术4MS Proxy Server动态包过滤和反向代理动态包过滤和反向代理Proxy Server功能的配置界面如图功能的配置界面如图9.14所示。所示。(1)MS Proxy Server动动态态过过滤滤记记录录文文件件的的详详细说明如表细说明如表9.5所示。所示。(2)MS Proxy Server动动态态包包过过滤滤的的实实现现如如表表9.6所示。所示。第九章防火墙技术第九章防火墙技术图9.14Proxy Server功能的配置界面 第九章防火墙技术第九章防火墙技术表9.5一条记录条目的说明第九章防火墙技术第九章防火墙技术表表9.6动态包过滤规则动态包过滤规则返回本节第九章防火墙技术第九章防火墙技术THANKYOUVERYMUCH!本章到此结束,本章到此结束,谢谢您的光临!谢谢您的光临!返回本章首页结束放映
黑公网安备:91230400333293403D