第八章网关ppt课件.pptVIP

8.1、网关（Gateway） 2.网关的分类 面向连接网关，面向无连接网关 半网关、全网关模型 协议网关、应用网关和安全网关 协议网关应用举例 （2）.应用网关 （3）.安全网关 （3）.安全网关 （3）.安全网关 防火墙的优点 防火墙能强化安全策略。 防火墙能有效地记录网上活动。 限制暴露用户点 防火墙是一个安全策略的检查点。 防火墙的局限性 防火墙防外不防内。 防火墙难于管理和配置，易造成安全漏洞。 很难为用户在防火墙内外提供一致的安全策略。 防火墙只实现了粗粒度的访问控制。 1．双端口或三端口的结构 2．透明的访问方式 3．灵活的代理系统 4．多级的过滤技术 5．网络地址转换技术（NAT） 6．网络状态监视器 7．Internet网关技术 8．安全服务器网络（SSN） 9．用户鉴别与加密 10．用户定制服务 11．审计和告警 12．应用网关代理 13．回路级代理服务器 14．代管服务器 15．IP通道（IP Tunnels） 16．隔离域名服务器（Split Domain Name Sever） 17．邮件转发技术（Mail Forwarding） 源ip地址转换（NAT） 目的ip地址转换（目的ip地址映射/MAP/反向NAT） 一对一/静态ip地址转换/SAT 地址池（ip pool） 目的端口转换（端口映射/PAT） 地址伪装 透明应用代理 最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。 一个位于周边网络与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。 8.3 防火墙的体系结构 3、屏蔽子网体系结构(续) 侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，它将仍然必须通过内部路由器。 软件防火墙和硬件防火墙以及芯片级防火墙。 8.4 防火墙的类型与特点 8.4.1 按物理实体分类 X86架构 （PC架构工控机） NP架构 （网络处理器） ASIC架构 （专用集成电路） 至少应具备三个端口，分别接内网、外网和DMZ区（非军事区） 防火墙的工作方式主要分包过滤型和应用代理型两种。 8.4 防火墙的类型与特点 8.4.2 按工作方式分类 1．包过滤型 包过滤（Packet filtering）型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 8.4 防火墙的类型与特点 8.4.2 按工作方式分类（续） 2．应用代理型 应用代理型防火墙(Application Proxy) 是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 8.4 防火墙的类型与特点 8.4.3 按部署结构分类 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 单一主机防火墙：是最为传统的防火墙，独立于其它网络设备，它位于网络边界。与一台计算机结构差不多，价格昂贵。 路由器集成式防火墙：这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能，如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。 分布式防火墙：不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。 8.4 防火墙的类型与特点 8.4.4 按部署位置分类 按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。 8.4.5 按性能分类 按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户（网络流量小、用户数量较少）生产出了桌面型防火墙。 8.4 防火墙的类型与特点 8.4 防火墙的类型与特点 8.5 防火墙的工作模式与主要技术 8.5.1 防火墙的工作模式 防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。 路由模式：防火墙可以充当路由器，提供路由功能。 透明桥模式：防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变。 混合模式：防火墙同时工作在路由模式和桥模式。 路由模式 防火墙缺省工作模式，防火墙可以充当路由器，提供路由功能 FTP www DMZ区 内部网络 连接DMZ的接口需要设置成公网地址