公选期末作业.pptVIP

防 火 墙 技 术 李楠 陈泽锋 目录 防火墙的基本概念 防火墙的发展历程 防火墙的类型 基 本 概 念 防火墙的基本概念 定义 防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域之间通信流的唯一通道，能根据有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙能做什么 服务控制：确定哪些服务可以被访问 方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制：根据用户来控制对服务的访问 行为控制：控制一个特定的服务的行为 1.控制能力 防火墙能做什么 3.防火墙提供了一个监视各种安全事件的位置，所以，可以在防火墙上实现审计和报警 对于有些Internet功能来说，防火墙也可以是一个理想的平台，比如地址转换，Internet日志、审计，甚至计费功能 2.定义一个必经之点 挡住未经授权的访问流量 禁止具有脆弱性的服务带来危害 实施保护，以避免各种IP欺骗和路由攻击 Every coin has two sides 局限性 防火墙防外不防内。 防火墙难于管理和配置，易造成安全漏洞。 很难为用户在防火墙内外提供一致的安全策略。 防火墙只实现了粗粒度的访问控制。 发 展 历 程 Development 基于路由器的防火墙 利用路由器本身对分组的解析，进行分组过滤 过滤判断依据：地址、端口号以及其他网络特征 防火墙与路由器合为一体，只有过滤功能 适用于对安全要求不高的网络环境 防火墙工具组件 将过滤功能从路由器中独立出来，并加上审计和告警功能 针对用户需求，提供模块化的软件包 软件可以通过网络发送，用户可根据需要构造防火墙 与第一代相比，安全性提高了，价格降低了 Development 基于通用操作系统的防火墙 是批量上市的专用防火墙。 包括分组过滤或者借用路由器的分组过滤功能。 装有专用的代理系统，监控所有协议的数据和指令。 保护用户编程空间和用户可配置内核参数的设置。 安全性和速度大为提高 基于安全操作系统的防火墙 防火墙厂商具有操作系统的源代码，并可实现安全内核。 去掉不必要的系统特性，加固内核，强化安全保护。 在功能上包括了分组过滤、应用网关、电路级网关。 增加了许多附加功能：加密、鉴别、审计、NAT转换。 透明性好，易于使用。 类型 包过滤防火墙 静态包过滤防火墙 动态包过滤防火墙 代理防火墙 代理（应用层网关）防火墙 自适应代理防火墙 根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系 包过滤防火墙 采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。 包过滤防火墙 静态包过滤防火墙 动态包过滤防火墙 代理防火墙 代理防火墙运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。 代理防火墙 两种防火墙对比 引用资料 防火墙技术--“包过滤型”和“应用代理型/blog/static/139827331201022825145981/ 百度百科-防火墙 维基百科-防火墙 防火墙技术论文​———计算机专业/view/83edeba6dd3383c4bb4cd292.html 分工 李楠：收集资料 制作课件 陈泽锋：制作课件 谢谢观看