第7章防火墙工作原理及应用课件.ppt

内部路由器 内部路由器也称作阻塞路由器、扼流路由器。它的任务是保护内部网使之免受来自Internet和DMZ的侵犯，并承担防火墙数据包过滤的任务。它允许从内部网到Internet的有选择的出站服务。为了减少堡垒主机受侵袭的数量，要限制堡垒主机给内部网提供的服务。 外部路由器 外部路由器也称作访问路由器，保护DMZ和内部网使之免受来自Internet的侵犯。它几乎允许任何通信从DMZ出站，并且通常只执行非常少的数据包过滤；但它要阻止从Internet上任何伪造源地址进来的数据包，这样的数据包自称来自内部的网络，但实际上是来自Internet。 7.2.7 组合体系结构 建造防火墙时，一般很少采用单一的技术，通常采用解决不同问题的多种技术的组合。 1）多堡垒主机 2）合并内部路由器与外部路由器 3）合并堡垒主机与外部路由器 7）合并堡垒主机与内部路由器 5）使用多台外部路由器 6）使用多个周边网络 图7.21 DMZ 内路路由器 外部路由器 Internet 内部网 有两个堡垒主机的子网过滤体系结构 内/外部路由器 DMZ 图7.22 Internet 内部网 单个路由器的子网过滤体系结构 图7.23 DMZ 堡垒主机 Internet 内部网 堡垒主机充当外部路由器 外部路由器 图7.27 DMZ 外部路由器 堡垒主机 内部路由器 Internet 内部网 堡垒主机充当内部路由器 图7.25 外部路由器 外部路由器 内部路由器 DMZ 内部网 Internet 分支机构或合作伙伴 多台外部路由器的子网过滤体系结构 图7.26 外部路由器 内部路由器 外部路由器 内部路由器 Internet 内部网 分支机构或 合作伙伴 DMZ DMZ 有两个DMZ的子网过滤体系结构 7.3 防火墙选型与产品简介 防火墙技术发展到现在，其争的焦点主要是在以下四个方面： 防火墙的管理——网络安全的关键 防火墙的功能——防火墙应用的基础 防火墙的性能——提高网络传输效率的条件 防火墙的抗攻击能力——网络安全的保证 7.3.1 防火墙的局限性 1）不能防范不经过防火墙的攻击 2）不能防止来自内部变节者或不经心的用户带来的威胁；也不能 解决进入防火墙的数据带来的所有安全问题 3）只能按照对其配置的规则进行有效的工作 7）不能防止感染了病毒的软件或文件的传输 5）不能修复脆弱的管理措施或者设计有问题的安全策略 6）可以阻断攻击，但不能消灭攻击源 7）不能抵抗必威体育精装版的未设置策略的攻击漏洞 8）在某些流量大、并发请求多的情况下，很容易导致拥塞， 成为整个网络的瓶颈 9）防火墙对服务器合法开放的端口的攻击大多无法阻止 10）防火墙本身也会出现问题和受到攻击 7.3.2 开发防火墙安全策略 一个有效的防火墙依赖于一个明确的、清楚的、全面的安全策略。在设计安全系统时，首先应该考虑的是安全策略而不是防火墙。 安全策略建立了全方位的防御体系来保护机构的信息资源。所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。 国际标准化组织ISO（International Standardization Organization）和国际电工委员会IEC（International Engineering Consortium）颁布的ISO17799是一套常用的策略及指导过程从 可以获得。 安全策略（续） 安装一个防火墙最困难的部分不是处理硬件和软件， 而是如何向周围的人解释你想施加的那些限制。 安全性和复杂性成反比 安全性和可用性成反比 对网络威胁要详加分析，真实的威胁、可能的威胁 和假想的威胁，还有已知与未知的威胁 安全策略并不是一成不变的 安全是投资，不是消费，安全投资需要得到企业或 组织领导的大力支持 7.3.3 防火墙选型原则 市场上防火墙的售价极为悬殊，从数万元到数十万元，甚至到百万元不等。由于用户数量不同，用户安全要求不同，功能要求不同，因此防火墙的价格也不尽相同。 网络吞吐量、丢包率、延迟、连接数等都是重要的技术指标。质量好的防火墙能够有效地控制通信，为不同级别、不同需求的用户提供不同的控制策略。 控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直接反映出防火墙控制策略的质量。 7.3.7 典型防火墙简介 Checkpoint FireWall-1 Cisco PIX Firewall 蓝盾防火墙