计算机网络与信息安全技术俞承杭CH08防火墙技术课件教学.pptVIP

瑞星个人防火墙的设置与使用 本章小结 防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统，目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访，从而实现内网保护。 典型的防火墙具有三个基本特性：①内部网络和外部网络之间的所有网络数据流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火墙；③防火墙自身应具有非常强的抗攻击免疫力。 防火墙具有以下几种功能：①限定内部用户访问特殊站点；②防止未授权用户访问内部网络；③允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源；④记录通过防火墙的信息内容和活动；⑤对网络攻击进行监测和报警。 防火墙的体系结构有以下几种: ①双重宿主主机体系结构；②被屏蔽主机体系结构；③被屏蔽子网体系结构。 防火墙的类型有多种分类方法：技术上分“包过滤型”和“应用代理型”；结构上分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种；应用部署位置分为边界防火墙、个人防火墙和混合式防火墙；性能上分为百兆级防火墙和千兆级防火墙。 防火墙的发展趋势：①功能性能不断突破；②下一代网络的新需求；③高速、安全、可用。 在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网 馋死 * * * 《计算机网络与信息安全技术》教学课件 V08.08 * 防火墙技术 第 8 章 基本内容 在网络安全技术中，防火墙是第一道防御屏障。一般它位于路由器之后，为进出网络的连接提供安全访问控制。本章介绍防火墙技术的原理和应用。 8.1 防火墙概述 8.1 防火墙概述 通常意义上的防火墙： ◆不同安全级别的网络或安全域之间的唯一通道 ◆只有被防火墙策略明确授权的通信才可以通过 ◆系统自身具有高安全性和高可靠性 注意区分个人防火墙、病毒防火墙 防火墙是位于两个(或多个)网络间，实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”，它是最重要的网络防护设备之一。 1、基本概念 8.1 防火墙概述 2、防火墙的功能 防火墙的基本功能：访问控制 基于源MAC地址 基于目的MAC地址 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于方向 基于时间 基于用户 基于流量 基于内容 路由功能 NAT功能 VPN功能 用户认证 8.1 防火墙概述 2、防火墙的功能(续) 防火墙的扩展功能： 带宽控制 日志审计 流量分析 8.2 防火墙在网络中的位置 安装防火墙以前的网络 8.2 防火墙在网络中的位置 安装防火墙后的网络 DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。 通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。这样，不管是外部还是内部与对外服务器交换信息数据也要通过防火墙，实现了真正意义上的保护。 8.2 防火墙在网络中的位置 DMZ区(demilitarized zone，也称非军事区) 8.3 防火墙的体系结构 防火墙的体系结构一般有以下几种: 1）双重宿主主机体系结构。 2）屏蔽主机体系结构。 3）屏蔽子网体系结构。 8.3 防火墙的体系结构 1、双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。可充当与这些接口相连的网络之间的路由器；它能够从一个网络到另一个网络发送IP数据包。 实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而，IP数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。 8.3 防火墙的体系结构 2、屏蔽主机体系结构 屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。 堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁 数据包过滤也许堡垒主机开放可允许的连接到外部世界 8.3 防火墙的体系结构 3、屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离