网络安全(第二章)概要.ppt

第二章 防火墙技术及应用 防火墙技术概述 防火墙的体系结构 防火墙的实现技术 典型防火墙的设置 防火墙技术展望 瑞星个人防火墙应用实例 Cisco PIX防火墙基础配置实例 防火墙概述 防火墙的提出 什么是防火墙 防火墙的功能 防火墙的分类 防火墙的局限性 防火墙的提出 企业上网面临的安全问题之一： 需要内部网与外部网有效隔离 解答： 防火墙 防火墙示意图 防火墙技术 防火墙的概念 防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。 防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性： · 防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外和从外到里的所有信息都必须通过防火墙； · 通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过； · 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。 什么是防火墙 什么是防火墙 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 什么是防火墙 定义：防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。 核心思想：在不安全的网际网环境中构造一个相对安全的子网环境。 目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。 什么是防火墙 防火墙可在链路层、网络层和应用层上实现； 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的； 从网络防御体系上看，防火墙是一种被动防御的保护装置 。 防火墙的功能 ① 网络安全的屏障； ② 过滤不安全的服务；（两层含义） 内部提供的不安全服务和内部访问外部的不安全服务 ③ 阻断特定的网络攻击；（联动技术的产生） ④ 部署NAT机制； ⑤ 提供了监视局域网安全和预警的方便端点。 提供包括安全和统计数据在内的审计数据，好的防火墙还能灵活设置各种报警方式。 防火墙的功能 防火墙的基本功能 1．监控并限制访问 2．控制协议和服务 3．保护内部网络 4．网络地址转换（NAT） 5．虚拟专用网（VPN） 6．日志记录与审计 防火墙的分类 1.个人防火墙 是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能； 大家常用的个人防火墙有：Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等； 安装在个人PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。 防火墙的分类 2.软件防火墙 个人防火墙也是一种纯软件防火墙，但其应用范围较小，且只支持Windows系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差； 作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统，并且多数都支持Unix或Linux系统。如十分著名的Check Point， FireWall-1，Microsoft ISA Server 2000等 。 防火墙的分类 3.一般硬件防火墙 不等同于采用专用芯片的纯硬件防火墙，但和纯软件防火墙有很大差异 ； 一般由小型的防火墙厂商开发，或者是大型厂商开发的中低端产品，应用于中小型企业，功能比较全，但性能一般； 一般都采用PC架构（就是一台嵌入式主机），但使用的各个配件都量身定制 。 防火墙的分类 其操作系统一般都采用经过精简和修改过内核的Linux或Unix，安全性比使用通用操作系统的纯软件防火墙要好很多，并且不会在上面运行不必要的服务，这样的操作系统基本就没有什么漏洞。但是，这种防火墙使用的操作系统内核一般是固定的，是不可升级的，因此新发现的漏洞对防火墙来说可能是致命的 ； 国内自主开发的防火墙大部分都属于