防火墙技术原理及其应用

防火墙技术原理及其应用01防火墙的概念功能及其类型02防火墙的技术及其发展03防火墙的体系结构04防火墙的产品05防火墙的选择Contents目录PART1防火墙的概念，功能及其类型Loremipsumdolorsitamet防火墙的概念☼1.防火墙(firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入。☼2.防火墙位于可信网络与不可信网络之间并对二者之间流动的数据包进行检测的一台或多台计算机或路由器。☼3.防火墙安全规则由匹配条件和处理方式两部分决定，匹配条件是指对通信流量是否合法的逻辑表达式。防火墙示意图☼防火墙的功能☼-——访问控制☼——授权认证☼——内容安全：病毒扫描，URL扫描，Http过滤☼——加密☼——路由器安全管理☼——地址翻译☼——均衡负载☼——日志记账，审计报警防火墙类型☼从防火墙的软、硬件形式划分，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。☼(1)软件防火墙☼软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。例如SygateFireware、天网防火墙等。☼(2)硬件防火墙硬件防火墙基于硬件平台的网络防预系统，与芯片级防火墙相比并不需要专门的硬件。目前市场上大多数防火墙都是这种硬件防火墙，他们基于PC架构。☼(3)芯片级防火墙芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。例如NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），防火墙本身的漏洞比较少，不过价格相对比较高昂。☼从防火墙的技术来分的话，防火墙可以分为包过滤型、应用代理型☼(1)包过滤（Packetfiltering）型☼包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则从数据流中被丢弃。☼(2)应用代理（ApplicationProxy）型☼应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。☼以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种，但也有些防火墙是同时运作于网络层及应用层。☼(1)网络层防火墙☼网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协定堆栈上。以列举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内建的规则。☼(2)应用层防火墙☼应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的信息流或是使用FTP时的信息流都是属于这一层。应用层防火墙可以拦截进出某些应用程式的所有封包。PARTtwo防火墙的技术及其发展Loremipsumdolorsitamet防火墙的技术及其发展基于功能划分——第一代防火墙：基于包过滤技术——第二代防火墙：电路层防火墙——第三代防火墙：应用层防火墙——第四代防火墙：基于动态包过滤——第五代防火墙：自适应代理技术给代理类型的防火墙赋予了全新的意义基于实现方式划分01基于路由器的防火墙02用户化的防火墙03建立在通用操作系统上的防火墙04具有安全操作系统的防火墙从技术角度划分标准防火墙使用专门的软件，并要求比较高的管理水平，而且在信息传输上有一定的延迟。标准防火墙双穴网关是标准防火墙的扩充（应用层网关），它是一个单独的系统，但能够同时完成标准防火墙的所有功能。随着防火墙技术的进步，在双穴网关的基础上又演化出两种防火墙配置，一种是隐蔽主机网关，一种是隐蔽智能网关。目前，技术比较复杂而且安全级别较高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击双穴网关PART3防火墙的体系结构Loremipsumdolorsitamet包过滤防火墙☼那你呢☼萌萌包过滤防火墙屏蔽主机体系结构☼吧屏蔽主机体系☼想屏蔽子网体系结构☼想屏蔽主机体系☼想屏蔽子网体系结构☼想PART3防火墙的产品Loremipsumdolorsitamet防火墙的产品——硬件产品☼1.CiscoPIX-515E-R-BUN防火墙CiscoPIX-515E-R-BUN防火墙思科公司的防火墙产品，内置的CPU为IntelCeleton，频率为433MHZ，内存容量为32MB，闪存容量为16MB。它属于百兆级防火墙，并发连接数为5000网络吞吐量达到190MB/s。☼特点☼----具有无限软件捆绑，同时处理50000余个连接，吞吐量高达170MB/S。防火墙的产品☼2.QuidwayEudemon(守护神)300防火墙QuidwayEudemon(守护神)300防火墙是华为公司推出的基于网络处理器NP技术的硬件高速状态防火墙,采用先进的动态检测技术(ASPF)，具备电信级高性能和高可靠性，为用户网络提供全面的安全保护，同时还具备强大的虚拟专用网（VPN）功能、地址转换（NAT）功能以及P2P业务控制与带宽管理功能，普遍适用于大、中型企业及其分支机构，目前已经在国内得到大量应用，还远销欧洲、中东、南美、东南亚等国家。☼其特点是☼------拥有强大的防范DoS/DDoS攻击能力；☼------提供丰富的安全业务提供和灵活组网能力；☼------拥有高性能的VPN网关；☼------具备强大的NAT业务能力；☼------可实现灵活的P2P等流量识别和带宽管理。防火墙的产品——软件产品☼1.Checkpoint软件防火墙美国CheckPoint公司是软件防火墙领域中的佼佼者，其开发的软件防火墙产品CheckPoint在全球软件防火墙产品中排名第一。CheckPoint是一个综合的、模化的安全产品，基于策略的解决方案，能够让管理员指定网络访问按部署的时间段进行控制，它能够将处理任务分散到一组工作站上，从而减轻相应防火墙服务器、工作站的负担，为服务器带来更好的工作效益。☼特点☼----操作在操作系统的核心层☼----支持基于Web的多媒体和UDP应用程序☼----采用多重验证模板和方法防火墙的产品☼2.MicrosoftISAServer软件防火墙它是一个应用层防火墙、虚拟专用网络(VPN)和Web高速缓冲产品，使客户能够通过提高网络安全和性能轻松地从现有的IT投资获得最大收益。☼特点☼----安全，易于使用且经济高效☼----影响网络传输速度☼----影响资源消耗☼----阻碍消息流通PART5防火墙的选择Loremipsumdolorsitamet防火墙的选择☼通常用户可以选择三种不同类型的防火墙:☼——软件防火墙☼——硬件防火墙☼——无线路由器☼软件防火墙是单一计算机最适合的选择，并且完全可以用系统自带的防火墙。软件防火墙也可以使用来自其他软件公司的产品。☼常见的软件防火墙☼对于需要连接到Internet的家庭网络,硬件防火墙则是一个好选择。☼如果打算使用无线网络,则需要无线路由器。