第4章防火墙技术详解.ppt

第四章　防火墙技术 ;本章学习目标;4.1　防火墙概述 ;4.1.1　防火墙的定义 ;4.1.1　防火墙的定义 ;4.1.1　防火墙的定义 ;4.1.2　防火墙的分类 ;4.1.2　防火墙的分类 ;4.1.2　防火墙的分类 ;4.1.3　防火墙的基本功能 ;4.1.3　防火墙的基本功能 ;4.1.3　防火墙的基本功能 ;4.1.4　防火墙的局限性 ;一个防火墙系统通常由屏蔽路由器和代理服务器组成。;屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志及另外一些IP选项，对IP包进行过滤。 屏蔽路由器（Screening Router）又叫包过滤路由器，是最简单、最常见的防火墙，屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。除具有路由功能外，再装上包过滤软件，利用包过滤规则完成基本的防火墙功能。;4.2　防火墙的体系结构 ;4.2　防火墙的体系结构 ;双宿/多宿主机模式;多宿主主机;2．屏蔽主机型防火墙;;被屏蔽主机;3．屏蔽子网型防火墙;;被屏蔽子网;4．防火墙的各种变化和组合 建造防火墙时，很少采用单一的技术，根据堡垒主机和屏蔽路由的各种组合防火墙衍生出一些派生结构体系。;4.3　防火墙的主要技术 ;4.3.1．包过滤防火墙 ;4.3.1．包过滤防火墙 ;4.3.1．包过滤防火墙 ;4.3.1．包过滤防火墙 ;静态包过滤 ;动态包过滤 ;动态包过滤 ;包过滤防火墙的优点 ;包过滤的缺点 ;包过滤的缺点 ;;4.3.2．代理技术;当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。;4.3.2．代理技术;代理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。 ;4.3.2．代理技术;应用层网关型防火墙 ;应用层网关型防火墙 ;应用层网关防火墙的优点 ;应用层网关防火墙的优点 ;代理防火墙的缺点 ;电路层网关防火墙 ;电路层网关是建立应用层网关的一个更加灵活方法。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，一般采用自适应代理技术，也称为自适应代理防火墙。 在电路层网关中，需要安装特殊的客户机软件。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet Filter）。在自适应代理与动态包过滤器之间存在一个控制通道。 ;4.3.3状态包检查技术 ;SPI的工作过程 ;4.3.4 其他技术;　防火墙的发展简史;　防火墙的发展简史;4.4　常用防火墙产品介绍 ;2．Cisco PIX防火墙 PIX是一套硬件设备，其核心是专有的固化的操作系统，PIX采用Cisco的ASA（专用自适应算法）与状态表对会话和其他事务进行处理。PIX系列防火墙主要是通过命令行方式进行配置和网络管理。用户也可以通过PIX防火墙的PDM（PIX的设备管理器），通过Web方式进行管理，但使用Web界面管理PIX只能进行简单的配置改变。和CheckPoint的FireWall-1功能相比，PIX防火墙同样具备状态检查、身份验证、NAT功能以及VPN功能，其中VPN功能是基于VPN硬件加速卡实现的。 ;3. NetScreen 防火墙 NetScreen把多种安全功能集成在一个ASIC芯片上，将防火墙、虚拟??用网（VPN）、网络流量控制和宽带接入、NAT转换等功能全部集成在专有的一体硬件中，该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈，同时能实现最高级别的IPSec。 ;