1 / 39

信 息 安 全

信 息 安 全. 主 讲:符天 电子邮箱: network@mail.hnspi.net. 第四章 防火墙技术. 4.1. 防火墙技术概述. 防火墙的分类与工作原理. 4.2. 防火墙设计策略与实例. 4.3. 4. 第八章 对 学 生 的 要 求. 掌握了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 掌握掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式;熟悉防火墙的常见体系结构 。 教学重点:防火墙的定义 教学难点:包过滤防火墙和和代理防火墙的实现原理. 防火墙技术概述. 1. 防火墙的定义. 2.

honorato-graham
Download Presentation

信 息 安 全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 信 息 安 全 主 讲:符天 电子邮箱:network@mail.hnspi.net

  2. 第四章 防火墙技术 4.1 防火墙技术概述 防火墙的分类与工作原理 4.2 防火墙设计策略与实例 4.3 4

  3. 第八章 对 学 生 的 要 求 • 掌握了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 • 掌握掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式;熟悉防火墙的常见体系结构。 教学重点:防火墙的定义 教学难点:包过滤防火墙和和代理防火墙的实现原理

  4. 防火墙技术概述 1 防火墙的定义 2 防火墙的发展简史 防火墙的局限性 3 防火墙技术发展动态和趋势 4 4.1

  5. 防火墙的定义 • 防火墙(Firewall)是由一个或一组网络设备(计算机系统或路由器等)组成,在两个或者多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。 • 防火墙的构成可以表示为:防火墙=过滤器+安全策略,是一种非常有效的网络安全技术。

  6. 防火墙的定义 • 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。下图为防火墙示意图。

  7. 防火墙的定义 防火墙系统模型

  8. 防火墙的功能 • 防火墙是网络安全的屏障 • 防火墙可以强化网络安全策略 • 对网络存取和访问进行监控审计 • 防止内部信息的外泄

  9. 防火墙的发展简史 • 第一代防火墙:采用了包过滤(Packet Filter)技术。 • 第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。 • 第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。 • 第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。 • 第六代防火墙:智能防火墙,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。

  10. 防火墙的发展简史

  11. 防火墙的局限性 • 不能完全防范外部刻意的人为攻击。 • 不能防范来自内部用户的攻击。 • 不能防止内部用户因误操作而受到攻击。 • 难以防止病毒或者受病毒感染的文件的传输 。

  12. 防火墙技术发展动态和趋势 • 优良的性能 • 可扩展的结构和功能 • 简化的安装与管理 • 主动过滤 • 防病毒与防黑客

  13. 防火墙技术 1 防火墙的技术分类 2 防火墙的主要技术及实现方式 防火墙的常见体系结构 3 4.2

  14. 防火墙的工作原理 • 1. 防火墙的工作原理 防火墙的工作原理是按照安全规则来监测和过滤所有通过的信息,只允许满足安全规则的数据通过。 • 2. 防火墙的分类 常见的防火墙可分为包过滤、代理防火墙两类,它们都具有各自的优缺点。

  15. 防火墙的技术分类 • 数据包过滤技术的发展:静态包过滤、动态包过滤。

  16. 防火墙的技术分类

  17. 防火墙的技术分类 • 包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。 • 包过滤的缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤(如RPC、FTP等);正常的数据包过滤路由器无法执行某些安全策略;安全性较差 。

  18. 防火墙的技术分类 • 代理防火墙的原理: 代理防火墙工作于应用层,且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。

  19. 防火墙的技术分类

  20. 防火墙的技术分类 代理技术的优点: • 代理易于配置。 • 代理能生成各项记录。 • 代理能灵活、完全地控制进出流量、内容。 • 代理能过滤数据内容。 • 代理能为用户提供透明的加密机制。 • 代理可以方便地与其他安全手段集成。

  21. 防火墙的技术分类 代理技术的缺点: • 代理速度较路由器慢。 • 代理对用户不透明。 • 代理服务不能保证免受所有协议弱点的限制。 • 代理不能改进底层协议的安全性。

  22. 两种防火墙技术的对比

  23. 防火墙的常见体系结构 • 屏蔽路由器 • 双穴主机网关 • 屏蔽主机网关 • 被屏蔽子网

  24. 防火墙的常见体系结构 屏蔽主机网关示意图

  25. 防火墙的常见体系结构 屏蔽主机网关示意图

  26. 防火墙的常见体系结构 屏蔽主机网关示意图

  27. 防火墙的常见体系结构 被屏蔽子网防火墙示意图

  28. 防火墙设计策略 1 防火墙产品选购策略 2 防火墙设计策略 4.3

  29. 防火墙产品选购策略 • 防火墙的安全性 • 防火墙的高效性 • 防火墙的适用性 • 防火墙的可管理性 • 完善及时的售后服务体系

  30. 防火墙设计策略 • 防火墙的系统环境 取消危险的系统调用;限制命令的执行权限;取消IP的转发功能;检查每个分组的接口;采用随机连接序号;驻留分组过滤模块;取消动态路由功能;采用多个安全内核等等。 • 设置防火墙的要素 高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。

  31. 防火墙设计策略 • 服务访问策略 允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。 • 防火墙设计策略 允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用,第二种是好用但不安全,通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。

  32. 防火墙使用案例 • 某公司网络情况如下,现需要对网络防火墙进行配置。 1. 网络拓扑 公司网络安装防火墙后的网络拓扑如图所示。

  33. 防火墙使用案例 网络拓扑图

  34. 防火墙使用案例 路由器以太网口IP地址为202.118.117.66,掩码为255.255.255.192,此IP为合法IP地址,可直接在互联网上使用。 用户需求 : 公司的所有员工均可正常访问Internet(地址192.168.1.1除外)。 公司的所有员工均不可访问IP地址为200.200.200.200的网址。 公司的所有员工均不可使用OICQ进行网络聊天(OICQ使用UDP,8000端口)

  35. 防火墙使用案例 1) 地址转换 协议:选择全部协议。 内部地址:IP地址为192.168.1.0,掩码为 255.255.255.0,端口不填。 目的地址:全部不填。 2) 地址映射 实际IP地址为192.168.3.1,映射IP地址为202.118.117.67,端口及目的子网都不填。 实际IP地址为192.168.3.2,映射IP地址为202.118.117.68,端口及目的子网都不填。

  36. 防火墙使用案例 3) DMZ 规则1:拒绝单向全部协议。 源地址:IP地址为192.168.1.1,掩码为255.255.255.255,端口不填。 目的地址:不填。 说明:该规则目的是所有员工均可正常访问Internet(地址192.168.1.1除外)。 规则2:拒绝单向全部协议。 源地址:不填。 目的地址:IP地址为200.200.200.200,掩码为255.255.255.255 端口不填。 说明:该规则目的是所有员工均不可访问IP地址为200.200.200.200的网址。

  37. 防火墙使用案例 • 规则3:拒绝单向UDP。 源地址:IP地址为192.168.1.0,掩码为255.255.255.0,端口不填。 目的地址:IP地址不填,掩码不填,端口为8000。 • 规则4:允许单向TCP。 源地址:IP地址为202.118.117.67,掩码为255.255.255.255,端口为WWW。 目的地址:IP地址不填,掩码不填,端口不填。 规则5:允许单向TCP。 源地址:IP地址不填,掩码不填,端口不填。 目的地址:IP地址为192.168.3.1,掩码不填,端口为WWW。

  38. 课程小结 • 本章主要介绍了防火墙基本知识,包括防火墙的概念、功能、分类、体系结构、实现技术、发展趋势、安全性、防火墙的选购、安装、维护和几种常见的防火墙产品。 • 课后作业: 什么是防火墙?在网络中为什么要设置防火墙? 设置防火墙的目的是什么?防火墙的局限性有哪些?

  39. 谢 谢!

More Related