防火墙原理与实践概览.ppt

防火墙技术原理 与维护操作 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙设计结构 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 防火墙定义 内部网 防火墙外观 桌面型防火墙 普通百兆防火墙 防火墙 + VPN 高端百兆防火墙 高端千兆防火墙 天融信防火墙产品系列线 通过在安全边界部署防火墙，可以实比 VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。 高端电信级千兆防火墙 防火墙执行标准 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18336-2001 信息技术安全性评估准则 GB/T 17900-1999 网络代理服务器的安全技术要求 GB/T 18018-1999 路由器安全技术要求 这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。 Firewall 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙设计结构 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 软件防火墙 硬件防火墙 按形态分类 按保护对象分类 各种类型的防火墙 保护整个网络 保护单台主机 网络防火墙 单机防火墙 单机防火墙 网络防火墙 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂 单机防火墙 网络防火墙 产品形态 软件 硬件或者软件 安装点 单台独立的 Host 网络边界处 安全策略 分散在各个安全点 对整个网络有效 保护范围 单台主机 一个网段 管理方式 分散管理 集中管理 功能 功能单一 功能复杂、多样 管理人员 普通计算机用户 专业网管人员 安全措施 单点安全措施 全局安全措施 结论 单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能 单机防火墙网络防火墙 硬件防火墙软件防火墙 硬件防火墙 软件防火墙 操作系统平台 安全性 性能 稳定性 网络适应性 分发 升级 成本 硬件防火墙 基于精简专用OS 高 高 较高 强 不易 较容易 Price=firewall+Server 软件防火墙 基于庞大通用OS 较高 较高 高 较强 非常容易 容易 Price=Firewall 仅获得Firewall软件，需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱（主要以路由模式工作） 稳定性高 软件分发、升级比较方便 硬件+软件，不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强（支持多种接入模式） 稳定性较高 升级、更新不太灵活 Firewall 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙设计结构 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 防火墙的发展历史 基于PC机，运行在通用操作系统（UNIX、WINDOWS等）之上 通用操作系统不是为网络安全定制的，不可避免的存在许多漏洞和BUG 防火墙没有专用的资源，与其他任务进程一起共享CPU、RAM、PCI总线等资源 性能一般、安全性也一般 不再使用通用的操作系统 采用专用或者自主研发（优化）的操作系统，由于这些系统是为网络安全定制的，因而从根本上解决了软件防火墙存在的安全隐患 该类防火墙仍然属于X86结构，但在性能和安全性上比软件防火墙有了很大的提高 优良的性价比，在市场上占据了主导地位 采用ASIC芯片和多总线、并行处理方式；使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成 多总线结构保证在端口上有数据传输时，防火墙内部仍能进行高效数据处理，不再受“中断”的限制 采用专用操作系统，具有很高的安全性 彻底摆脱X86架构的影响 性能和安全性有很大的突破，尤其是性能指标 防火墙技术的发展历程 天融信防火墙的发展历程 天融信防火墙硬件平台的发展 Firewall 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙设计结构 防火墙功能 防火墙性能 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 包过滤与