防火墙技术核心技术介绍.pptx

《防火墙技术核心技术介绍.pptx》由会员分享，可在线阅读，更多相关《防火墙技术核心技术介绍.pptx（31页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、改进1方向类型源地址目的地址源端口目的端口动作Outsidetcp*any80permit*anyanydeny方向类型源地址目的地址源端口目的端口动作Insidetcp*123.4.5.7any80permit*anyanydeny第1页/共31页DMZ（Demilitarized Zone，非军事区或者隔离区）2DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器或者能够访问内部网络但会带来安全隐患的问题，而设立的一个非安全网络与安全网络之间的缓冲区；这个缓冲区位于内部网络和外部网络之间的网络区域内；在这个区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛

2、等；通过DMZ区域，能更加有效地保护内部网络。第2页/共31页三种网络3可信网络：企业内部网络不可信网络：因特网和其它公众网络中立网络：同时属于企业和因特网/其它公众网络的网络第3页/共31页为什么需要DMZ？在实际的运用中，某些主机需要对外提供服务，但会影响到内部网络的安全。将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供服务的同时最大限度地保护内部网络。针对不同资源提供不同安全级别的保护，可以构建一个或多个DMZ区域。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，即使DMZ中服务器受到破坏，也不会对内网

3、中的重要信息造成影响。4第4页/共31页DMZ防火墙组成5第5页/共31页DMZ网络访问控制策略1.内网可以访问外网2.内网可以访问DMZ 3.外网不能访问内网 4.外网可以访问DMZ 5.DMZ不能访问外网 6.DMZ不能访问内网（或者只能访问特定设备的特定应用）XXX第6页/共31页DMZ配置地址转换DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的，以达到隐藏网络结构的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。DMZ安全规则制定 DMZ安全规则集是安全策略的技术实现，是实现一个成功、安全的防火墙的非常关键的一步。在建立规则集时必须注意规则

4、次序，一般来说，通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，避免防火墙被配置错误。7第7页/共31页DMZ特点解决非DMZ网络容易受到渗透攻击的问题在内部网络和外部网络之间增加的一个或几个子网为网络安全提供了更高级别的保护需要更复杂的规则配置在防火墙部署时需要重点考虑的因素8第8页/共31页单防火墙的基础网络9第9页/共31页基础网络、单防火墙和堡垒主机10第10页/共31页带DMZ的防火墙11第11页/共31页带有DMZ的双防火墙12第12页/共31页多重DMZ基础结构13第13页/共31页防火墙应用示例14第14页/共31页防火墙其它功

5、能双机热备功能双地址路由功能端口映射功能IP与MAC绑定15第15页/共31页防火墙的双机热备功能16第16页/共31页防火墙应用示例：双机热备17第17页/共31页防火墙的双地址路由功能18第18页/共31页端口映射功能（MAP）198000第19页/共31页IP地址与MAC地址绑定20DD第20页/共31页防火墙术语（1）21堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网堡垒主机是一种被强化的可以防御攻击的计算机。它被暴露于因特网/外网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。堡垒主机是网络中最容易

6、受到侵害的主机，所以堡垒主机必须是自身保护最完善的主机。第21页/共31页防火墙术语（2）22双宿主机至少具有两个网络接口，内外的网络均可与双宿主机实施通信，但内外网络之间不可直接通信，内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网第22页/共31页防火墙术语（3）23堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网 数据包过滤技术是对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状

7、态等因素，或它们的组合来确定是否答应该数据包通过。第23页/共31页防火墙术语（4）24堡垒主机双宿主机数据包过滤筛选路由器屏蔽主机屏蔽子网 筛选路由器是防火墙最基本的构件。它作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。第24页/共31页防火墙术语（5）25堡垒主机双宿主机数据包过滤屏蔽路由器屏蔽主机屏蔽子网 当一个堡垒主机安装在内部网络上，通常在防火墙上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，即屏蔽主机。这确保了内部网络不受未被授权的外部用户的

8、攻击。第25页/共31页防火墙术语（6）26堡垒主机双宿主机数据包过滤屏蔽路由器屏蔽主机屏蔽子网 这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台防火墙将这一子网分别与内部网络和外部网络分开。在很多实现中，两个防火墙放在子网的两端，在子网内构成一个“非军事区”DMZ。第26页/共31页防火墙体系结构（1）27筛选路由器双/多宿主机被屏蔽主机被屏蔽子网第27页/共31页防火墙体系结构（2）28筛选路由器双/多宿主机被屏蔽主机被屏蔽子网第28页/共31页防火墙体系结构（3）29筛选路由器双/多宿主主机屏蔽主机屏蔽子网进行规则配置，只允许外部主机与堡垒主机通信不允许外部主机直接访问除堡垒主机之外的其它主机问题：存在什么缺点？问题：存在什么缺点？第29页/共31页防火墙体系结构（4）30筛选路由器双/多宿主主机屏蔽主机屏蔽子网第30页/共31页31感谢您的观看！第31页/共31页