计算机网络安全原理（第2版）课件 第12章 网络防火墙.pptx

;;;2020年4月发布的国家标准《GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价方法》将防火墙定义为：对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。;根据安全目的、实现原理的不同，又将防火墙分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙等

;网络型防火墙（network-basedfirewall），简称网络防火墙，部署于不同安全域之间（通常是在内部网络和外部网络的边界位置），对经过的数据流进行解析，具备网络层、应用层访问控制及安全防护功能的网络安全产品。

单一主机防火墙（硬件防火墙）、路由器集成防火墙;网络型防火墙;Web应用防火墙（WebApplicationFirewall），简称WAF，部署于Web服务器前端，对流经的HTTP/HTTPS访问和响应数据进行解析，具备Web应用的访问控制及安全防护功能的网络安全产品。;数据库防火墙（databasefirewall）部署于数据库服务器前端，对流经的数据库访问和响应数据进行解析，具备数据库的访问控制及安全防护功能的网络安全产品。;主机防火墙（host-basedfirewall）部署于计算机（包括个人计算机和服务器）上，也称为个人防火墙，提供网络层访问控制，应用程序访问限制和攻击防护功能的网络安全产品。;;网络防火墙主要保护整个内部网络，Web应用防火墙保护的是Web应用服务器，数据库防火墙保护的是数据库管理系统，而主机防火墙则要保护的对象是个人主机或服务器

很多情况下，防火墙指的是网络防火墙，这也是本章的介绍对象;防火墙;相关概念：病毒防火墙;有关防火墙功能的描述很多，且不尽相同（核心思想是一致的，只是从不同角度来介绍的），本处基于国家标准《GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价方法》中的表述;总体功能：防火墙对内外网之间的通信进行监控、审计，在网络周界（networkperimeter）处阻止网络攻击行为，保护内网中脆弱以及存在安全漏洞的网络服务，防止内网信息暴露;1、网络层控制：在网络层对网络流量进行控制，包括：访问控制和流量管理

访问控制：包过滤（双向控制），网络地址转换（NAT），状态检测

流量管理：带宽管理（速率控制、??率保证），连接数控制，会话管理;2、应用层控制：在应用层对网络流量进行控制，包括：用户管控，基于用户认证的网络访问控制功能；应用类型控制，根据应用特征识别并控制各种应用流量；应用内容控制，基于应用的内容对应用流量进行控制;3、攻击防护：识别并阻止特定网络攻击的流量，例如基于特征库识别并阻止网络扫描、典型拒绝服务攻击流量，拦截典型木马攻击、钓鱼邮件等；与其它安全系统联动;4、安全审计、告警与统计：记录下所有网络访问并进行审计记录，并对事件日志进行管理；对网络使用情况进行统计分析；当检测到网络攻击或不安全事件时，产生告警;;技术的发展过程;技术发展过程;技术发展过程;;防火墙的包过滤技术;;包头中的主要信息;包过滤操作的六项要求;包过滤操作的要求;包过滤规则实例（1/3）;包过滤规则实例（2/3）;包过滤规则实例（3/3）;Cisco路由器包过滤规则;Cisco路由器包过滤规则;Cisco的标准访问列表（1/3）;Cisco的标准访问列表（2/3）;Cisco的标准访问列表（3/3）;Cisco的扩展访问列表(1/3);Cisco的扩展访问列表(2/3);Cisco的扩展访问列表(3/3);包过滤技术的特点（1/2）;包过滤技术的特点（2/2）;包过滤路由器与普通路由器(1/2);包过滤路由器与普通路由器(2/2);;;状态检测技术;基于状态检查的包过滤技术;;状态检测技术：优点;状态检测技术：缺点;;应用级代理;应用层代理;应用级代理的优点;应用级代理;;应用级代理VS包过滤技术;应用级代理的缺点(1/2);应用级代理的缺点(2/2);自适应代理技术(1/2);自适应代理技术(2/2);;Gartner，2009《DefiningtheNext-GenerationFirewall）》，下一代防火墙定义：一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护

针对应用、用户、终端及内容的高精度管控

外部安全智能

一体化引擎多安全模块智能数据联动

可视化智能管理

高性能处理架构

本质上是前面介绍哪种防火墙？

;下一代防火墙;;;;;堡垒主机（BastionHost）

堡垒主机是指经过安全增强的网络主机，允许外网主机访问并可向外网提供一些网络服务（即作为应用代理），亦可访问内网，同时对经过本机的内、外网的网络流量进行安全检查、控制、审计等。;堡垒主机（BastionHost）

单宿堡垒主机