防火墙技术原理.docVIP

【课程名称】：防火墙技术原理 ? 【课程内容】： 一、??防火墙技术原理 二、??防火墙的定义 三、? 防火墙技术原理 ? 【学习笔记】： 一、防火墙技术原理 1、??防火墙概要介绍 2、??防火墙功能及原理 3、??防火墙典型应用 4、??防火墙存在的问题 二、防火墙的定义 防火墙：一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。 ? 三、防火墙的核心技术 1、??包过滤：最常用的技术。工作在网络层，根据数据包头中的IP、端口、协议等确定是否数据包通过 2、??应用代理：另一种主要技术，工作在第7层应用层，通过编写应用代理程序，实现对应用层数据的检测和分析 3、??状态检测：工作在2－4层，控制方式与1同，处理的对象不是单个数据包，而是整个连接，通过规则表（管理人员和网络使用人员事先设定好的）和连接状态表，综合判断是否允许数据包通过。 4、??完全内容检测：需要很强的性能支撑，既有包过滤功能、也有应用代理的功能。工作在2-7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。 ? 四、包过滤防火墙技术原理 1、??简单包过滤防火墙不检查数据区 2、??简单包过滤防火墙不建立连接状态表 3、??前后报文无关 4、??应用层控制很弱 ? 五、应用代理防火墙技术原理 1、??不检查IP\TCP报头 2、??不建立连接状态表 3、??网络层保护比较弱 ? 六、状态检测防火墙技术原理 1、??不检查数据区 2、??建立连接状态表 3、??前后报文相关 4、??应用层控制很弱 ? 七、完全内容检测防火墙技术原理 1、??网络层保护强 2、??应用层保护强 3、??会话保护很强 4、??上下文相关 5、??前后报文有联系 ? 八、防火墙体系结构 1、??过滤路由器 2、??多宿主主机 3、??被屏蔽主机 4、??被屏蔽子网 九、过滤路由器（Filtering Router） 1、??过滤路由器作为内外网连接的唯一通道，通过ACL策略要求所有的报文都必须在此通过检查，实现报文过滤功能 2、??它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户（没有日志记录）。 ? 十、双宿主主机（Dual Homed Gateway） 1、??双宿主主机优于过滤路由器的地方是：堡垒主机的系统软件可用于维护系统日志 2、??它的致使弱点是：一旦入侵者侵入堡垒主机，则无法保证内部网络的安全。 ? 十一、被屏蔽主机（Screened Host Gateway?） 1、??通常在路由器上设立ACL过滤规则，并通过堡垒主机进行数据转发，来确保内部网络的安全 2、??弱点：如果攻击者进入屏蔽主机内，内网中就会受到很大的威胁，这与双宿主主机受攻击时的情形差不多。 ? 十二、被屏蔽子网（Screened Subnet） 1、??这种结构是在内部网络和外部网络之间建立一个被隔离的子网，用两台过滤路由器分别与内部网络和外部网络连接，中间通过堡垒主机进行数据转发。 2、??特点：如果攻击者试图进入内网或者子网，他必须攻破过滤路由器和双宿主主机，然后才可以进入子网主机，整个过程中将引发警报机制。 ? 十三、防火墙技术原理 2、防火墙基本功能 十四、防火墙基本功能 1、??访问控制（防火墙是一种高级的访问控制设备） 2、??地址转换（都会部署在内外网之间，尤其是互联网出口，因此会涉及到地址转换问题） 3、??网络环境支持（2层或3层之间的内部连接） 4、??带宽管理功能（如观看视频时，同时其它人要去炒股，） 5、??入侵检测和攻击防御 6、??用户认证 7、??高可用性 十五、基本访问控制功能 ? 十六、时间控制策略 ? 十七、地址转换策略（1） ? 十八、地址转换策略（2） ? 十九、网络环境支持（固定） ? 二十、网络环境支持 ? 二十一、网络环境支持－动态路由 ? 二十二、网络环境支持－ADSL拨号 ? 二十三、网络环境支持－SNMP网络管理 ? 二十四、网络环境支持－IP MAC绑定（防止IP滥用的现象） ? 二十五、带宽管理QOS（可以根据业务进行不同的流量分配，以保证重要业务的应用） 二十六?、入侵检测和攻击防御－内置入侵检测 ? 二十七、入侵检测和攻击防御－入侵检测联 ? 二十八、用户认证 ? 二十九、高可用性－双机热备 ? 三十、高可用性－负载均衡 ? 三十一、高可用性－链路备份 ? 三十二、防火墙典型应用－接入方式－透明接入 ? 三十三、防火墙典型应用－接入方式－路由接入（在同一网段） ? 三十四、防火墙典型应用－接入方式－综合接入 ? 三十五、防火墙典型应用（星形结构） ? 三十六、防火墙的典型应用（梯形结构） ? 三十七、防火墙的典