防火墙基础知识浅析.ppt

防火墙技术 防火墙的概念 防火墙是指隔离在本地网络与外界网络系统之间的防御系统，是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风 险区域的访问。 防火墙的概念 防火墙相关术语 防火墙的基本功能 防火墙系统可以决定外界可以访问那些内部服务,以及内部人员可以访问哪些外部服务. 防火墙有以下的功能: 　 1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。　　　　2．可以很方便地监视网络的安全性，并报警。 　　 防火墙的基本功能 3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 4．是审计和记录Internet使用费用的一个最佳地点。 5．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。 防火墙的优点 强化安全策略 有效地记录Internet上的活动 限制暴露用户点(隔离不同网络，限制安全问题扩散) 是一个安全策略的检查站 产生安全报警 防火墙的不足 防火墙并非万能，防火墙的缺点: 源于内部的攻击 不能防范恶意的知情者和不经心的用户 不能防范不通过防火墙的连接 不能直接抵御恶意程序(由于病毒的种类繁多，如果要在防火墙完成对所有病毒代码的检查，防火墙的效率就会降到不能忍受的程度。) 防火墙的主要技术 包过滤技术 包过滤防火墙工作示意图 设置实例 包过滤优缺点 包过滤优缺点 缺点： 配置基于包过滤方式的防火墙，需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题； 过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足； 由于数据包的地址及端口号都在数据包的头部，不能彻底防止地址欺骗； 允许外部客户和内部主机的直接连接； 不提供用户的鉴别机制。 代理服务技术 Application-level Gateway 代理服务技术 应用级网关防火墙工作示意图 应用级网关防火墙的特点 一个Telnet应用代理的过程 状态检测包过滤技术 防火墙的设计 防火墙的分类 从使用技术上分 包过滤技术 代理服务技术 状态检测技术 从实现形式分 软件防火墙 硬件防火墙 芯片级防火墙 防火墙的分类 从部署位置分 个人防火墙 网络防火墙 混合防火墙 防火墙技术的实现 Windows 防火墙的应用 拦截ping包 模拟器上访问控制列表的介绍 对防火墙产品发展的介绍 防火墙发展历程 第一阶段：基于路由器的防火墙 第二阶段：用户化的防火墙工具套 第三阶段：建立在通用操作系统上的防火墙 第四阶段：具有安全操作系统的防火墙 第一阶段：基于路由器的防火墙 第一代防火墙产品的特点是： 利用路由器本身对分组的解析,以访问控制表（access list）方式实现对分组的过滤； 过滤判决的依据可以是：地址、端口号、IP旗标及其它 网络特征； 只有分组过滤的功能，且防火墙与路由器是一体的，对 安全要求低的网络可采用路由器附带防火墙功能的方法， 对安全性要求高的网络则可单独利用一台路由器作防火墙。 第一阶段：基于路由器的防火墙 第一代防火墙产品的不足之处为： 路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。 路由器上的分组过滤规则的设置和配置存在安全隐患。 攻击者可以“假冒”地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。 防火墙的规则设置会大大降低路由器的性能。 第二阶段：用户化的防火墙工具套 作为第二代防火墙产品，用户化的防火墙工 具套具有以下特征： 将过滤功能从路由器中独立出来，并加上审计和告警功能； 针对用户需求，提供模块化的软件包； 软件可通过网络发送，用户可根据需要构造防火墙； 与第一代防火墙相比，安全性提高了，价格降低了。 第二阶段：用户化的防火墙工具套(cont.) 不足之处： 配置和维护过程复杂、费时； 对用户的技术要求高； 全软件实现，安全性和处理速度均有局限； 实践表明，使用中出现差错的情况很多。 第三阶段：建立在通用操作系统上的防火墙 具有以下特点： 是批量上市的专用防火墙产品； 包括分组过滤或者借用路由器的分组过滤功能； 装有专用的代理系统，监控所有协议的数据和指令；