防火墙基础与分类.pptx

防火墙基础 分类、原理绿盟科技2011年11月密级：内部限制分发1 防火墙的基本概念2 防火墙的分类3 防火墙的功能4 防火墙的典型部署5 下一代防火墙介绍1 防火墙的基本概念 概念：一种高级访问控制设备，即由软件和硬件组成的系统，置于不同的网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙默认阻断一切！1 防火墙的基本概念 防火墙设计的基本目标： ①所有进出网络的数据流都必须经过防火墙； ②只允许经过授权的数据流通过防火墙； ③防火墙自身对入侵是免疫的。防火墙对数据流的处理方式有三种： ①允许数据流通过； ②拒绝数据流通过； ③将这些数据流丢弃。防 火 墙 分 类1，按用户终端，分为企业防火墙和个人防火墙2，按照实现方式，分为硬件和软件防火墙；3，按照检测技术，分为包过滤、状态检测等；4，固定防火墙和移动防火墙5，按照部署，分为单机版和网络版；6，产品多元化，服务器版，PC版，Mp4版， 手机版，电视版 目前没有权威而明晰的类似辞典...针对硬件防火墙的检测方式的分类1 防火墙的基本概念防火墙的设备形态（一）1 防火墙的基本概念防火墙的设备形态（二）1 防火墙的基本概念防火墙的设备形态（三）1 防火墙的基本概念2 防火墙的分类3 防火墙的功能4 防火墙的典型部署5 下一代防火墙介绍防火墙的发展历程利用路由器本身对分组的解析，进行分组过滤过滤判断依据：地址、端口号、IP旗标及其他网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、用于网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用 防火墙的基本分类包过滤防火墙状态检测防火墙应用代理防火墙复合型防火墙核检测防火墙防火墙类型11.包过滤防火墙数据包过滤(Packet Filtering)技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表(Access Control List，ACL)包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP头部），通常只检查下列几项：IP源地址IP目标地址TCP或UDP的源端口号TCP或UDP的目的端口号协议类型ICMP消息类型TCP报头中的ACK位TCP的序列号、确认号IP校验和IP报头TCP报头数据包过滤检查信息1.包过滤防火墙TCP开始攻击TCPTCP开始攻击开始攻击IPIPIPIPTCPTCPTCP开始攻击开始攻击开始攻击ETH应用层开始攻击应用层开始攻击TCP 层TCP开始攻击TCP 层IP 层IPIP 层只检查报头网络接口层ETH网络接口层简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱1010010010010100100000111001111011110110010010010100100000111001111011110111.包过滤防火墙优点逻辑简单对网有较强的透明性络性能的影响较小开销较小，设备便宜缺点无法对数据包的内容进行过滤审核 在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个请求是非法的还是合法的。防止欺骗攻击很难，特别是容易受到IP欺骗攻击所有可能用到的端口(尤其是1024的端口)都必需放开,增加了被攻击的可能性在复杂的网络中很难管理通常来说包过滤技术是防火墙技术中最低的。 防火墙类型22.状态检测防火墙 由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表（state tables）来追踪活跃的TCP会话，它能够根据连接状态信息动态地建立和维持一个连接状态表，并且这个把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有：检查数据包是否是一个已经建立并且正在使用的通信流的一部分。如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中为此次对话创建或者更新一个连接项防火墙通常对TCP包中被设置的FI