防火墙技术

讲授内容：防火墙授课对象：计科2000级授课教师：方志雄讲授课程：计算机网络一、防火墙概述第12章第9节防火墙二、防火墙技术三、防火墙的常见体系结构四、防火墙的局限性五、课堂小结一、防火墙概述1、防火墙的定义2、防火墙的功能3、防火墙的发展简史防火墙是用来连接两个网络，设置在被保护网络和外部网络之间的一道屏障,并控制两个网络之间相互访问的系统，它包括用于网络连接的软件和硬件以及控制访问的方案，即一类防范措施的总称。内部网络防火墙外部网络一、防火墙概述1、防火墙的定义2、防火墙的功能3、防火墙的发展简史（2）防火墙可以强化网络安全策略（4）防止内部信息的外泄（1）防火墙是网络安全的屏障（3）对网络存取和访问进行监控审计一、防火墙概述1、防火墙的定义2、防火墙的功能3、防火墙的发展简史第一代防火墙：采用了包过滤（PacketFilter）技术。第二代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第三代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第四代防火墙：1998年，NAI公司推出了一种自适应代理技术（如ProxyServer）。层次模型图静态包过滤层次防火墙动态包过滤层次防火墙电路层网关工作原理图基于代理的应用级网关防火墙层次模型一、防火墙概述第12章第9节防火墙二、防火墙技术三、防火墙的常见体系结构四、防火墙的局限性五、课堂小结二、防火墙技术1、防火墙分类从工作原理分：（1）包过滤防火墙（2）代理滤防火墙二、防火墙技术1、防火墙分类（1）包过滤防火墙工作原理工作在7层协议中的网络层、数据包、信息过滤规则、IP信息（IP源、目的地址、端口号、IP标示号、长度、服务类型等）、授权、其功能相当与路由器+安全控制特点优点：缺点：1、价格相对便宜、速度较快2、不用改动应用程序一个过滤器可以保护整个网络3、数据包对用户透明4、效率高1、不能彻底地防止地址欺骗2、一些应用协议不适合于数据包过滤3、正常的数据包无法执行某些安全性策略4、数据包工具存在局限性5、系统兼容性问题二、防火墙技术1、防火墙分类（1）包过滤防火墙工作原理代理服务运行在主机上的应用程序或服务程序（2）代理滤防火墙外部主机代理服务器Intranet几个基本术语代理服务器路由器技术和软件技术结合在一起的应用级网关代理客户普通客户程序二、防火墙技术1、防火墙分类（1）包过滤防火墙（2）代理滤防火墙直实服务器外部　响应转发请求Internet代理客户应用层代理服务代理服务器应用协议分析请求转发响应Intranet真实的客户端二、防火墙技术1、防火墙分类（1）包过滤防火墙工作原理：代理服务（2）代理滤防火墙外部主机代理服务器内部网络几个基本术语代理服务器代理客户转发响应请求代理客户响应应用协议分析转发转发请求代理客户客户端客户端NAT技术转换二、防火墙技术1、防火墙分类（1）包过滤防火墙（2）代理滤防火墙外部主机代理服务器Intranet特点优点：缺点：代理服务器屏蔽了内部网络（NAT）、易于代理、安全日志、能灵活控制流量、便于系统兼容、有时可加速访问速度较慢、不能改进低层的安全性、每一项服务可能要求不同的服务器、不能保证免受协议弱点的控制、校园网代理二、防火墙技术1、防火墙分类2、两种防火墙的技术的比较（1）包过滤防火墙（2）代理滤防火墙图12.1b防火墙原理示意图返回首页3．两种防火墙技术的对比一、防火墙概述第12章第9节防火墙二、防火墙技术三、防火墙的常见体系结构四、防火墙的局限性五、课堂小结三、常见防火墙技术体系结构1、双宿主机网关客户机双宿主机Internet实物示意图工作原理图双宿主机特点1、主机实现路径寻找（路由器）；2、断开与关闭；3、内外连接问题；4、结构简单且有较好的控制功能。三、常见防火墙技术体系结构1、双宿主机网关2、屏蔽主机网关特点1、双宿主机直接与内外网络相连；2、堡垒主机仅与内网相连；3、堡垒主机有较好的安全性和操作性；4、外部网络只能与主机建立连接；5、防火墙主要有过滤路由器和堡垒主机组成，具有更好的安全性；6、但是，一旦主机被入侵，整个内部网络就会完全暴露，所以它还不是理想的保障。三、常见防火墙技术体系结构1、双宿主机网关2、屏蔽主机网关3、屏蔽子网实物示意图原理示意图特点1、防火墙有两个包过滤路由器配置而成；2、在内部网络与外网络之间设置一个安全保护层“参数网络”或“停火区”；3、停火区可以放置FTP、HTTP、DNS、SMTP、等；4、大大增加网络的安全性；5、提高了吞吐量；6、但系统较复杂，要求用户有较高的技术要求。三、常见防火墙技术体系结构1、双宿主机网关2、屏蔽主机网关4、典型产品介绍3、屏蔽子网1．3ComOfficeConnectFirewall新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。OfficeConnectInternetFirewall25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击，它还可以限制局域网用户对Internet的不恰当使用。OfficeConnectInternetFirewallDMZ可支持多达100个局域网用户，这使局域网上的公共服务器可以被Internet访问，又不会使局域网遭受攻击。3Com公司所有的防火墙产品很容易通过GettingStartedWizard进行安装。它们使整个办公室可以共享ISP提供的一个IP地址，因而节省开支。三、常见防火墙技术体系结构1、双宿主机网关2、屏蔽主机网关4、典型产品介绍3、屏蔽子网2．CiscoPIX防火墙1）实时嵌入式操作系统。2）保护方案基于自适应安全算法（ASA），可以确保最高的安全性。3）用于验证和授权的“直通代理”技术。4）最多支持250000个同时连接。5）URL过滤。6）HPOpenView集成。（7）通过电子邮件和寻呼机提供报警和告警通知。（8）通过专用链路加密卡提供VPN支持。（9）符合委托技术评估计划（TTAP），经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证（PIX520除外）。一、防火墙概述第12章第9节防火墙二、防火墙技术三、防火墙的常见体系结构四、防火墙的局限性五、课堂小结四、防火墙的局限性首先，必须在安全性和服务访问的方便性之间进行抉择。其次，防火墙不能对抗私有网络中的后门。第三，现在的防火墙，很少保护来自内部的攻击。其它，许多信息服务协议，在防火墙策略下工作的不是很好；多媒体信息传输包，没有内容检测，存在潜在威胁；下载的软件不能保证对计算机病毒；防火墙可能构成潜在的信息处理瓶颈等。一、防火墙概述第12章第9节防火墙二、防火墙技术三、防火墙的常见体系结构四、防火墙的局限性五、课堂小结课堂小结一、防火墙概述（了解）1、防火墙的定义2、防火墙的功能3、防火墙的发展简历二、防火墙技术（掌握）1、包过滤防火墙与代理防火墙2、上述两种防火墙技术的比较三、防火墙的常见体系结构（熟悉）1、双宿主机网关2、屏蔽主机网关3、屏蔽子网网关四、防火墙的局限性（了解）THANKYOUVERYMUCH！本节到此结束，谢谢您的光临！结束放映