第5章 访问控制和防火墙 new.ppt

第5章 访问控制与防火墙 本章概要 课程目标 前言 防火墙是最重要的网络安全措施之一！是目前网络的安全门户！ 网络数据包的生成、传输、到达的过程，以及在这一过程中存在的安全问题。 扫描 网页篡改 …… 目录 防火墙的基本知识 防火墙的种类 防火墙的硬件实现技术 防火墙的核心技术 防火墙设计结构 防火墙的体系结构 防火墙的功能 防火墙的性能 5.1 防火墙的基本知识 5.1 防火墙的基本知识 防火墙形态，以天融性网络卫士为例 标准1U机箱，节省宝贵的机柜空间，而且外形美观大方 配置3个10/100M自适应接口，内网、外网、SSN3个接口固定，不可更改。 接口数量、类型不可更改 国内标准220V交流电源输入，不需要额外的电源转换设备 内存 64M 电源 AC90～260V，47～63Hz，0.15A/0.25A 主板采用集成化设计，稳定性、可靠性更高 5.1 防火墙的基本知识 5.1.2 防火墙示意图 5.1 防火墙的基本知识 5.1.3 防火墙是什么 在一个受保护的企业内部网络与互联网间，用来强制执行企业安全策略的一个或一组系统。 5.1 防火墙的基本知识 防火墙定义 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 5.1 防火墙的基本知识 5.1.4 防火墙特点 防火墙主要用于保护内部安全网络免受外部网不安全网络的侵害。 典型情况：安全网络为企业内部网络，不安全网络为Internet。 但防火墙不只用于Internet，也可用于企业网各部门网络之间（内部防火墙）。例：财务部与市场部之间。 5.1 防火墙的基本知识 5.1.5 防火墙概念 最初含义：当房屋还处于木制结构的时候，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski（Internet Security公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，用来控制进/出两个方向的通信。 5.1 防火墙的基本知识 5.1.5 防火墙概念 William Cheswick和Steve Beilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质： 只允许本地安全策略授权的通信信息通过。 双向通信信息必须通过防火墙。 防火墙本身不会影响正常信息的流通。 5.1 防火墙的基本知识 5.1.5 防火墙概念 简单的说，网络安全的第一道防线 防火墙是位于两个信任程序不同的网络之间（如企业内部网络与Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 5.1 防火墙的基本知识 5.1.6 防火墙实现层次 5.1 防火墙的基本知识 5.1.7 防火墙的基本功能模块 5.1 防火墙的基本知识 5.1.8 防火墙的主要功能 5.1 防火墙的基本知识 5.1.9 Internet防火墙的作用 Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。 5.1 防火墙的基本知识 5.1.9 Internet防火墙的作用 Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道