信息安全技术 周苏 第4-1讲 防火墙技术及Windows防火墙技术新.pptVIP

计算机网络技术 信息安全技术 第 4 讲 防火墙与网络隔离技术 防火墙技术及Windows防火墙配置 网络隔离技术与网闸应用 第 4-1 讲 防火墙技术及Windows防火墙配置 传统情况下，当构筑和使用木结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙。 如今，人们借助这个概念，使用“防火墙”来保护敏感的数据不被窃取和篡改，不过，这些防火墙是由先进的计算机系统构成的。 第 4-1 讲 防火墙技术及Windows防火墙配置 防火墙尤如一道护栏隔在被保护的内部网与不安全的非信任网络之间，用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。 防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。 第 4-1 讲 防火墙技术及Windows防火墙配置 防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，它可以识别并屏蔽非法的请求，保护内部网络敏感的数据不被偷窃和破坏，并记录内外通讯的有关状态信息日志，如通讯发生的时间和进行的操作等。 第 4-1 讲 防火墙技术及Windows防火墙配置 防火墙技术是一种有效的网络安全机制，它主要用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。 其基本准则就是： 一切未被允许的就是禁止的；一切未被禁止的就是允许的。 第 4-1 讲 防火墙技术及Windows防火墙配置 1. 防火墙技术 防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，并越来越多地应用于专用与公用网络的互联环境之中。 第 4-1 讲 防火墙技术及Windows防火墙配置 (1) 防火墙的作用 防火墙应该是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制 (允许、拒绝、监测) 出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控着内部网和因特网之间的任何活动，保证了内部网络的安全。 第 4-1 讲 防火墙技术及Windows防火墙配置 1) 防火墙是网络安全的屏障。 由于只有经过精心选择的应用协议才能通过防火墙，所以防火墙 (作为阻塞点、控制点) 能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险，使网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径等。 第 4-1 讲 防火墙技术及Windows防火墙配置 2) 防火墙可以强化网络安全策略。 通过以防火墙为中心的安全方案配置，能将所有安全软件 (如口令、加密、身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以集中于防火墙一身。 第 4-1 讲 防火墙技术及Windows防火墙配置 3) 对网络存取和访问进行监控审计。 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的，这样可以清楚防火墙是否能够抵挡攻击者的探测和攻击，清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 第 4-1 讲 防火墙技术及Windows防火墙配置 4) 防止内部信息的外泄。 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的例如Finger，DNS等服务。 第 4-1 讲 防火墙技术及Windows防火墙配置 Finger显示了主机的所有用户的注册名、真名、最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以由此而知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有因特网服务特性的企业内部网络技术体系VPN (虚拟专用网络) 。 第 4-1 讲 防火墙技术及Windows防火墙配置 (2) 防火墙的种类 根据防范