防火墙培训_1_发展史和技术原理(天融信).pptx

防火墙培训1发展史和技术原理天融信2016年12月17日目录目录防火墙的定义防火墙是什么？一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道根据访问控制规则决定进出网络的行为内部网防火墙的外观防火墙是什么？通过在安全边界部署防火墙，可以实比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。防火墙的分类防火墙是什么？软件防火墙硬件防火墙按形态分类按保护对象分类保护整个网络保护单台主机网络防火墙单机防火墙软件防火墙硬件防火墙防火墙是什么？硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1、仅获得Firewall软件，需要准备额外的OS平台2、安全性依赖低层的OS3、网络适应性弱（主要以路由模式工作）4、稳定性高5、软件分发、升级比较方便1、硬件+软件，不用准备额外的OS平台2、安全性完全取决于专用的OS3、网络适应性强（支持多种接入模式）4、稳定性较高5、升级、更新不太灵活单机防火墙网络防火墙防火墙是什么？单机防火墙网络防火墙1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙网络防火墙目录防火墙的发展史历史与趋势访问控制机制的演变1、路由器—ACL访问控制列表2、包过滤防火墙—根据IP五元组判断能否通过3、状态监测防火墙—根据应用判断能否通过4、应用代理防火墙—根据应用判断能否通过5、多检测机制防火墙—根据多个IP包判断整体应用后判断能否通过6、多功能集成网关（下一代防火墙）—嵌入多种防护功能，经过多层过滤后判断能否通过防火墙的发展史历史与趋势简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙5.核检测防火墙包过滤防火墙定义历史与趋势数据包过滤(PacketFiltering)技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表(AccessControlList，ACL)包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP头部），通常只检查下列几项：IP源地址IP目标地址TCP或UDP的源端口号TCP或UDP的目的端口号协议类型ICMP消息类型TCP报头中的ACK位TCP的序列号、确认号IP校验和包过滤防火墙工作流程历史与趋势应用层TCP层IP层网络接口层IP101010101TCPETH101010101应用层TCP层IP层网络接口层101010101只检查报头10100100100101001000001110011110111100100100101001000001110011110111101、简单包过滤防火墙不检查数据区2、简单包过滤防火墙不建立连接状态表3、前后报文无关4、应用层控制很弱包过滤防火墙优缺点历史与趋势优点逻辑简单对网有较强的透明性络性能的影响较小开销较小，设备便宜缺点无法对数据包的内容进行过滤审核在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个请求是非法的还是合法的。防止欺骗攻击很难，特别是容易受到IP欺骗攻击所有可能用到的端口(尤其是1024的端口)都必需放开,增加了被攻击的可能性在复杂的网络中很难管理通常来说包过滤技术是防火墙技术中最低的。状态检测防火墙定义历史与趋势由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表（statetables）来追踪活跃的TCP会话，它能够根据连接状态信息动态地建立和维持一个连接状态表，并且这个把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有：检查数据包是否是一个已经建立并且正在使用的通信流的一部分。如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。在检测完毕后，防火墙会根据路由转发数据