第章防火墙技术PPT课件.ppt
《第章防火墙技术PPT课件.ppt》由会员分享,可在线阅读,更多相关《第章防火墙技术PPT课件.ppt(54页珍藏版)》请在咨信网上搜索。
1、第6章 防火墙技术本章学习目标 本章主要介绍了防火墙的观念、分类、体系结构以及有关产品。通过本章的学习、读者应该掌握以下内容:防火墙及其相关概念包过滤与代理防火墙的体系结构分布式防火墙与嵌入式防火墙天网个人防火墙的使用16.1 防火墙概述防火墙的概念 防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障着内部网络的安全 2防火墙发展简史第一代防火墙:采用了包过滤(Packet Filter)技术。第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火
2、墙。第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。3防火墙的作用(1)可以限制未授权用户进入内部网络,过滤掉不安全服务和非法用户;(2)防止入侵者接近内部网络的防御设施,对网络攻击进行检测和告警;(3)限制内部用户访问特殊站点;(4)记录通过防火墙的信息内容和活动,监视Internet安全提供方便。4几个常用概念外部网络(外网):防火墙之外的网络,一般为Internet,默认为风险区域。内部网络(内网):防火墙之内的网络,一般为局域网,默认为安全区域。非军事化区(DMZ):为了配置管理方便,内网中需要向外网提供服务的服务器(如WWW、FTP、SMTP、D
3、NS等)往往放在Internet与内部网络之间一个单独的网段,这个网段便是非军事化区。5包过滤:也被称为数据包过滤,是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个数据包,根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。代理服务器:是指代表内部网络用户向外部网络中的服务器进行连接请求的程序。6 状态检测技术 虚拟专用网 数据驱动攻击 IP地址欺骗7防火墙的基本功能过滤进出网络的数据包管理进出网络的访问行为封堵某些禁止的访问行为记录通过防火墙的信息内容和活动对网络攻击进行检测和告警8好的防火墙系统应具备的特性 1)内部网络和外部网络之间传
4、输的数据必须通过防火墙;2)只有防火墙系统中安全策略允许的数据可以通过防火墙;3)防火墙本身不受各种攻击的影响;4)使用目前新的信息安全技术(现对密码技术、一次口令系统、智能卡等);5)人机界面良好,用户配置使用方便,易管理。9防火墙安全策略(1)除非明确允许,否则就禁止这种方法堵塞了两个网络之间的所有数据传输,除了那些被明确允许的服务和应用程序。因此,应该逐个定义每一个允许的服务和应用程序,而任何一个可能成为防火墙漏洞的服务和应用程序都不能允许使用。这是一个最安全的方法,但从用户的角度来看,这样可能会有很多限制,不是很方便。一般在防火墙配置中都会使用这种策略。(2)除非明确禁止,否则就允许这
5、种方法允许两个网络之间所有数据传输,除非那些被明确禁止的服务和应用程序。因此,每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法,它却可能存在严重的安全隐患。10防火墙的优点 防火墙是加强网络安全的一种有效手段,它有以下优点:防火墙能强化安全策略防火墙能有效地记录Internet上的活动防火墙是一个安全策略的检查站11防火墙的缺点(1)不能防范恶意的内部用户 防火墙可以禁止内部用户经过网络发送机密信息,但用户可以将数据复制到磁盘上带出去。如果入侵者已经在防火墙内部,防火墙也是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬件和软件,这类攻击占了全部攻
6、击的一半以上。(2)不能防范不通过防火墙的连接 防火墙能够有效防范地通过它传输的信息,却不能防范不通过它传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。12(3)不能防范全部的威胁 防火墙被用来防范已知的威胁,一个很好的防火墙设计方案可以防范某些新的威胁,但没有一个防火墙能自动防御所有的新的威胁。(4)防火墙不能防范病毒 防火墙不能防范从网络上传染来的病毒,也不能消除计算机已存在的病毒。无论防火墙多么安全,用户都需要一套防毒软件来防范病毒。13网络防火墙与病毒防火墙的区别14防火墙技术分类(1)包过滤防火墙 又称网络层防火墙,它对
7、进出内部网络的所有信息进行分析,并按照一定的信息过滤规则对信息进行限制,允许授权信息通过,拒绝非授权信息通过。(Firewall-1、PIX)(2)应用层网关(代理防火墙)这种防火墙是目前最通用的一种,由代理服务器与筛选路由器两部分构成,基本工作过程是:当客户机需要使用外网的服务器上的数据时,首先将数据请求发给代理服务器,代理服务器根据请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。同样的道理,代理服务器在外网向内网申请服务时也发挥了中间转接的作用。(Gauntlet)156.1.2 包过滤包过滤(Packet Filtering)技术在网络层中对数据包实施有选择的通过,依据系统事
8、先设定好的过滤规则,检查数据流中的每个包,根据包头信息来确定是否允许数据包通过,拒绝发送可疑的包。使用包过滤技术的防火墙叫做包过滤防火墙(Packet filter),因为它工作在网络层,又叫网络层防火墙(Network level firewall)。16包过滤防火墙一般由屏蔽路由器(Screening Router,也称为过滤路由器)来实现,这种路由器是在普通路由器基础上加入IP过滤功能而实现的,这是防火墙最基本的构件。包过滤防火墙读取包头信息,与信息过滤规则比较,顺序检查规则表中每一条规则,直至发现包中的信息与某条规则相符。如果有一条规则不允许发送某个包,路由器就将它丢弃;如果有一条规则
9、允许发送某个包,路由器就将它发送;如果没有任何一条规则能符合,路由器就会使用默认规则,一般情况下,默认规则就是禁止该包通过。17包过滤防火墙的优点(1)一个屏蔽路由器能保护整个网络 一个恰当配置的屏蔽路由器连接内部网络与外部网络,进行数据包过滤,就可以取得较好的网络安全效果。(2)包过滤对用户透明 不像在后面描述的代理(Proxy),包过滤不要求任何客户机配置。当屏蔽路由器决定让数据包通过时,它与普通路由器没什么区别,用户感觉不到它的存在。较强的透明度是包过滤的一大优势。(3)屏蔽路由器速度快、效率高 屏蔽路由器只检查包头信息,一般不查看数据部分,而且某些核心部分是由专用硬件实现的,故其转发速
10、度快、效率较高,通常作为网络安全的第一道防线。18包过滤防火墙的缺点屏蔽路由器的缺点也是很明显的,通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。配置繁琐也是包过滤防火墙的一个缺点。没有一定的经验,是不可能将过滤规则配置得完美。有的时候,因为配置错误,防火墙根本就不起作用。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,只能认为内部用户是可信任的、外部用户是可疑的。此外,单纯由屏蔽路由器构成的防火墙并不十分安全,危险地带包括路由器本身及路由器允许访问的主机,一旦屏蔽路由器被攻陷就会对整个网络产生威胁。19包过滤防火墙的发展阶段第一代:静态包过滤防火墙第二代:动态包过滤(
11、Dynamic Packet Filter)防火墙第三代:全状态检测(Stateful Inspection)防火墙第 四 代:深 度 包 检 测(Deep Packet Inspection)防火墙20代理技术所谓代理服务器,是指代表内网用户向外网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间,它对于客户机来说像是一台真的服务器,而对于外网的服务器来说,它又是一台客户机。代理服务器的基本工作过程是:当客户机需要使用外网服务器上的数据时,首先将请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。同样的道理,代理服务器在外部网络向内部网
12、络申请服务时也发挥了中间转接的作用。21代理的优点代理易于配置 代理因为是一个软件,所以它比过滤路由器容易配置,配置界面十分友好。如果代理实现得好,可以对配置协议要求较低,从而避免了配置错误。代理能生成各项记录 因代理在应用层检查各项数据,所以可以按一定准则,让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。22代理能灵活、完全地控制进出信息 通过采取一定的措施,按照一定的规则,可以借助代理实现一整套的安全策略,控制进出的信息。代理能过滤数据内容 可以把一些过滤规则应用于代理,让它在应用层实现过滤功能。23代理的缺点(1)代理速度比路由器慢(2)代理对用户不透明
13、(3)对于每项服务,代理可能要求不同的服务器(4)代理服务通常要求对客户或过程进行限制(5)代理服务受协议弱点的限制(6)代理不能改进底层协议的安全性24代理防火墙的发展阶段(1)应用层代理(Application Proxy)代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为某个特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙等。应用层代理的优点是能解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单
14、一协议。25(2)电路层代理(Circuit Proxy)也称为电路级代理服务器。在电路层网关中,包被提交到用户应用层处理。电路层网关用来在两个通信的终点之间转换包。它适用于多个协议,但无法解释应用协议,需要通过其他方式来获得信息。所以,电路级代理服务器通常要求修改过的用户程序。其中,套接字服务器(Sockets Server)就是电路级代理服务器。对用户来说,内网与外网的信息交换是透明的,感觉不到防火墙的存在,那是因为因特网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“SocketsifideAPI”,内部网络用户访问外部网所使用的IP地址也都是防火墙的IP地址。26(3)自适应
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术 PPT 课件
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。