09信息安全知识竞赛培训-防火墙汇.pptVIP

防火墙概述 防火墙主要技术 防火墙其它功能 防火墙策略 防火墙性能指标 防火墙部署案例分析 防火墙技术的发展趋势 防火墙概述 防火墙定义 防火墙作用 防火墙的局限性 防火墙的分类 防火墙的发展历程 防火墙术语 防火墙体系结构 防火墙概述 防火墙定义 防火墙作用 防火墙的局限性 防火墙的分类 防火墙的发展历程 防火墙术语 防火墙体系结构 防火墙作用 过滤进出网络的数据 管理进出网络的访问行为 封堵某些禁止的服务 记录通过防火墙的信息内容和活动 防火墙概述 防火墙定义 防火墙作用 防火墙的局限性 防火墙的分类 防火墙的发展历程 防火墙术语 防火墙体系结构 防火墙的局限性 防火墙的局限性 病毒、木马等恶性程序可利用email夹带闯关； 防火墙不能解决来自内部网络的攻击和安全问题； 防火墙不能防止策略配置不当或错误配置引起的安全威胁； 防火墙不能防止利用标准网络协议中的缺陷以及系统正常服务的漏洞进行的攻击； 防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。 防火墙概述 防火墙定义 防火墙作用 防火墙的局限性 防火墙的分类 防火墙的发展历程 防火墙术语 防火墙体系结构 防火墙概述 防火墙定义 防火墙作用 防火墙的局限性 防火墙的分类 防火墙的发展历程 防火墙术语 防火墙体系结构 防火墙概述 防火墙定义 防火墙作用 防火墙的局限性 防火墙的分类 防火墙的发展历程 防火墙术语 防火墙体系结构 防火墙术语 主机 连接到网络上的计算机系统 保垒主机 一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网的一个检查点。 双宿主机 有两个网络接口的计算机系统 数据包过滤 一些设备，如路由器、网桥或单独的主机，可以有选择地控制网络上往来的数据流。 防火墙术语 屏蔽路由器 一种可以根据过滤原则对数据包进行阻塞和转发的路由器,也称为筛选路由器。 屏蔽主机 被放置在屏蔽路由器后面的网络上的主机，主机能被访问的程度取决于路由器的屏蔽规则。 屏蔽子网 位于屏蔽路由器后面的子网，子网能被访问的程度取决屏蔽规则。 代理服务器 一种代表客户和真正服务器通信的程序。 防火墙体系结构 屏蔽路由器 多宿主主机 屏蔽主机 屏蔽子网 防火墙概述 防火墙主要技术 防火墙其它功能 防火墙策略 防火墙性能指标 防火墙部署案例分析 防火墙技术的发展趋势 防火墙主要技术 简单包过滤技术 状态检测包过滤技术 应用代理技术 复合型技术 简单包过滤防火墙原理 作用在网络层和传输层，根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。 创建包过滤规则 打算提供何种网络服务，并以什么方向提供这些服务？ 需要限制内部主机与因特网连接的能力吗？ 因特网上是否有可信任的主机，可以某种形式访问内部网络吗？ 简单包过滤防火墙原理 判断依据有： 数据包协议类型：TCP、UDP、ICMP、IGMP等 源、目的IP地址 源、目的端口：FTP、HTTP、DNS等 IP选项：源路由选项等 TCP选项：SYN、ACK、FIN、RST等 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等 数据包流向：in或out 数据包流经网络接口：eth0、eth1 简单包过滤防火墙示例 状态检测技术介绍 最早源自Check point一项称为“Stateful Inspection”的技术又称动态包过滤防火墙 检测原理 对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要是符合状态表，就可以通过。 目前的状态检测技术仅可用于TCP/IP网络。 分析高层协议 状态检测技术介绍 检测内容 通信信息 验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志，因此具有更全面的安全性 通信状态 即以前的通信信息。 应用状态 即其他相关应用的信息。 操作信息 在数据包中能执行逻辑或数学运算的信息。 状态检测技术特点 提供了完整的对传输层的控制能力。 使防火墙性能得到较大的提高，特别是大流量的处理能力； 而且，它根据从所有应用层中提取的与状态相关信息来做出安全决策，使得安全性也得到进一步的提高。 任何一款高性能的防火墙，都会采用状态检测技术。 应用代理防火墙实例 应用代理技术优缺点 优点 是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强； 在网络连接建立之前可以对用户身份进行认证； 所有通过防火墙的信息流可以被记录下来； 支持内部网络的信息隐藏； 缺点 难于配置 由于每个应用都要求单独的代