计算机网络安全ch6防火墙幻灯片.ppt

* 这种结构中，屏蔽路由器与外部网相连，再通过堡垒主机与内部网连接。来自外部网络的数据包先经过屏蔽路由器过滤，不符合过滤规则的数据包被过滤掉；符合规则的包则被传送到堡垒主机上。其代理服务软件将允许通过的信息传输到受保护的内部网上。 * 6.3.4 子网过滤结构 子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与Internet隔离开。 通过参数网络将堡垒主机与外部网隔开，减少堡垒主机被侵袭的影响。 * 子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到参数网络上，一个位于参数网与内部网之间，另一个位于参数网与外部网之间。这是一种比较复杂的结构，它提供了比较完善的网络安全保障和较灵活的应用方式。 * 内部 路由器 对外 服务器 堡垒 主机 内 部 网 络 Internet 防火墙 子网过滤结构防火墙 外部 路由器 客户机 客户机 服务器 客户机 客户机 参数网络 DMZ * 设计和选用防火墙时，要明确哪些数据是必须保护的，这些数据的被侵入会导致什么样的后果，网络不同区域需要什么等级的安全级别。要根据安全级别确定防火墙的安全标准。防火墙可以是软件或硬件模块，并集成于网桥、网关和路由器等设备之中。 6．4 防火墙的应用与发展6.4.1 防火墙的应用 * 1. 防火墙自身的安全性 大多数人在选择防火墙时都将注意力放 在防火墙如何控制连接以及防火墙支持 多少种服务上，但往往忽略一点，防火 墙也是网络上的主机设备，也可能存在 安全问题。防火墙如果不能确保自身安 全，则防火墙的控制功能再强，也终究 不能完全保护内部网络。 * 在防火墙主机上执行的除了防火墙软件外，所有的系统和程序也大都来自于操作系统本身的原有程序。当防火墙上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。如当黑客取得对防火墙的控制权后，他将为所欲为地修改防火墙的访问规则，进而侵入更多的系统。所以防火墙自身应是高度安全的。 * 2. 考虑特殊的需求 选择防火墙时也要考虑用户的一些特殊需求，如： IP地址转换：可隐藏内部网真正的IP和让内部网使用保留的IP。 VPN：在防火墙与防火墙或移动客户机间对网络传输的内容加密，建立一个虚拟通道，让两者间感觉是在同一个网络上。 双重DNS、特殊控制需求、病毒扫描功能等 * 3．选择防火墙的原则 防火墙产品往往有上千种，如何在其中选择最符合需要的产品，是消费者最关心的事。在选购防火墙软件时，应该考虑以下几点： 防火墙应该是一个整体网络的保护者 防火墙必须能弥补其它操作系统的不足 防火墙应该为使用者提供不同平台的选择 防火墙应能向使用者提供完善的售后服务 * 网络安全是通过技术与管理相结合来实现的，良好的网络管理加上优秀的防火墙技术是提高网络安全性能的最好选择。随着新的攻击手段的不断出现，以及防火墙在用户的核心业务系统中占据的地位越来越重要，用户对防火墙的要求越来越高。 6.4.2 防火墙技术的发展 * 为适应Internet的发展，未来防火墙技术的发展趋势为： 智能化 ：防火墙将从目前的静态防御策略向具备人工智能的智能化方向发展； 高速度：防火墙必须在运算速度上做相应的升级，才不致于成为网络的瓶颈； 并行体系结构：分布式并行处理的防火墙是防火墙的另一发展趋势； * 多功能：未来网络防火墙将在必威体育官网网址性、包过滤、服务、管理和安全等方面增加更多更强的功能； 专业化：电子邮件防火墙、FTP防火墙等针对特定服务的专业化防火墙将作为一种产品门类出现； 防病毒：现在许多防火墙都内置了病毒和内容扫描功能。 * 综上所述，未来的防火墙将是智能化、高速度、低成本、功能更加完善、管理更加人性化的网络安全产品的主力军。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全和数据的安全的综合应用。 * 未来防火墙的发展思路将是：防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展；过滤深度不断加强，从目前的地址、服务过滤，发展到URL（页面）过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒清除功能。 * 网络的防火墙产品还将把网络前沿技术，如Web页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。 * 思考和答疑 课后习题 * 3．包过滤规则 包过滤系统判断是否传送包时，基本上不关心包的具体内容。 包过滤系统一般： 不允许任何用户从外部网用Telnet登录； 允许任何用户使用STMP往内部网发送电子邮件； 允许某台机器通过NNTP往内部网发新闻。 * 4．包过滤防火墙的特点 (1) 包过滤技术的优点 一个过滤路由器能协助保护整个网络 包过滤对用户透明