防火墙与网络安全.pptVIP

防火墙与网络安全 主要内容： 防火墙概念 防火墙功能 防火墙分类 防火墙设计 防火墙产品介绍 第一页，共十三页。 §1.1 防火墙概念 网络防火墙是指隔离在内网与外网之间的一道防御系统，防火墙可以监控进出网络的通信信息，仅让安全、核准了的信息进入，拒绝抵制不安全的数据。 第二页，共十三页。 §1.1 防火墙概念 防火墙的工作姿态： 拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞 所有的信息，而每一种所期望的服务或应用都是实现在case- by-case的基础上。 允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发 所有的信息，任何可能存在危害的服务都应在case-by-case的 基础上关掉。 第三页，共十三页。 §1.2 防火墙功能 第四页，共十三页。 §1.3 防火墙分类 按实现方式分 软件防火墙 实现：在通用的计算机系统上安装防火墙软件，通过防火墙软件设置安全策略。 特点：软件防火墙成本相对较低，功能丰富灵活，可以工作在网络层和应用层； 软件防火墙采用软件实现，性能受到影响； 软件防火墙建立在通用的计算机及操作系统之上，本身存在安全性弱点； 硬件防火墙 实现：采用专用的硬件和软件合成的防火墙，通过防火墙提供的配置命令设置安全策略。 特点：硬件防火墙的硬件、软件都是专门针对防火墙功能而设计的，与软件防火墙相比 具有高安全性、高性能等优点，但灵活性不如软件防火墙。 第五页，共十三页。 §1.3 防火墙分类 按实现原理分 包过滤防火墙 原理：在网络层和传输层对数据包实施有选择的通过，依据预先设定好的过滤规则ACL， 检查经过的每个数据包，根据数据包的源IP地址/目标IP地址/协议/端口确定是否 允许通过。 实现：路由器一般都具备包过滤功能。 应用级防火墙 原理：应用级防火墙采用代理服务的方式， 防火墙内外的计算机系统应用层的链接是在 两个终止于代理服务的链接来实现， 这样便隔离了防火墙内外计算机系统的任何 直接链接，然后由代理按照制定的规则对数据包进行过滤处理； 实现：应用级防火墙一般采用在通用计算机系统上安装软件防火墙实现，即代理服务器。 第六页，共十三页。 §2.1 防火墙设计——屏蔽路由器 实现：采用路由器配置包过滤防火墙，设置ACL、NAT等包过滤防火墙的基本功能。 特点： 支持网络层的安全策略：过滤特定网络服务的数据包，防御源IP地址欺骗式 攻击（伪装内网IP）、源路由攻击（旁路）等；不支持应用层次的安全策略。 单纯的包过滤防火墙的安全机制是比较脆弱，无法抵御来自数据驱动式攻击 的潜在危险，且对黑客来说是比较容易攻击的。 第七页，共十三页。 §2.2 防火墙设计——双穴主机网关 实现： 采用一台装有两块网卡的主机（堡垒主机）做防火墙，两块网卡分别与内网和外部网相连， 堡垒主机上运行防火墙软件提供代理服务，阻断了内外网数据的直接交换，由堡垒主机根 据规则转发，属于应用级防火墙，即代理服务器。 特点： 与屏蔽路由器（包过滤）相比，应用级防火墙工作在应用层，能够对服务进行全面的 控制，支持应用层安全策略，如限制服务的命令集，支持应用层次上的过滤，维护系 统日志等。 一旦黑客侵入堡垒主机，使其只具有路由功能，任何网上用户均可以随便访问内部网。 第八页，共十三页。 §2.3 防火墙设计——屏蔽主机网关 实现： 将堡垒主机与屏蔽路由器组合，堡垒主机配置在内部网络上，而包过滤路由器放置在内网 和Internet之间。 路由器上设置包过滤规则，使得堡垒主机成为从外网唯一可直接到达的主机，阻塞去往内 部系统上其它主机的信息，同时只接受来自堡垒主机的内部数据包，强制内部用户使用代 理服务； 屏蔽主机网关中的堡垒主机负责为内网与外网的数据交换提供代理服务； 特点： 确保内部网不受未被授权的外部用户的攻击，同样内部网的客户机，只能受控制地通过 屏蔽主机和路由器访问Internet； 屏蔽主机网关中堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到 攻击的主机就只有堡垒主机本身。但如果允许用户注册到堡垒主机，那么整个内部网络 上的主机都会受到攻击的威胁。 第九页，共十三页。 §2.4 防火墙设计——屏蔽子网网关 第十页，共十三页。