《防火墙技术及应用》课程讲义.pptx

第0章防火墙课程绪论;课程简介;思维导图;第1章防火墙的基本知识;目录;1.了解防火墙产生原因；

2.了解防火墙的发展历史；

3.了解防火墙的主要性能；

4.理解防火墙定义；

5.理解防火墙在网络中最基础的两个作用；

6.理解下一代防火墙产品架构的特点；

7.掌握安全域的基本概念；;防火墙概述;（1）持续演进的网络安全问题？

（2）如何对网络边界进行防护？;防火墙（Firewall）是设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。;防火墙的基本功能;防火墙的其他功能;防火墙的前世今生;防火墙发展历史;2004年9月，美国IDC首度提出“统一威胁管理（UnitedThreatManagement，UTM）”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理新类别。

UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备，提供一项或多项安全功能，将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。

面临新的问题：

（1）对应用层信息的检测程度受到限制；

（2）性能问题，UTM中多个功能同时运行，设备的处理性能将会严重下降。;下一代防火墙;防火墙的新技术趋势;安全域和边界防御思想;网络安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络。

每一个逻辑区域内部有相同的安全保护需求、互相信任、具有相同的安全访问控制和边界控制策略，且相同的网络安全域共享一样的安全策略。;网络安全域间连接通过网络来实现，这样便产生了网络边界，保护本安全域的安全，抵御网络外界的入侵就要在网络边界上建立可靠的安全防御措施，即为边界安全。、

网络边界防御最早使用隔离控制的思想，但随着网络的不断扩大和发展，网络的防线越来越长，网络威胁更“复杂”、更“精细”、更“狡诈”。

在新的威胁环境下，防御的思路和手段需要改变，以隔离控制为中心的传统防火墙已经无法应对各种新型安全威胁。;现今多采用基于网络的检测与响应体系（NetworkDetectionResponse，NDR）在网络边界上进行检测???响应。

NDR通过对网络流量产生的数据进行多手段检测和关联分析，主动感知传统防护手段无法发现的高级威胁，进而执行高效的分析和回溯，并智能的输出预警信息和处置建议，实现对高级威胁的闭环式管理。;基于网络的检测与响应体系图-NDR;防火墙部署分为三个步骤：

（1）规划安全域：防火墙上通常预定义了三类安全区域，受信区域Trust、非军事化区域DMZ（demilitarizedzone）和非受信区域Untrust，用户可以根据需要自行添加新的安全区域。

（2）明确不同等级安全域相互访问的安全策略；

（3）确定防火墙的部署位置以及防火墙接口的工作模式。;（1）受信区域Trust：通常用于定义内部网络所在区域。

（2）非军事化区域DMZ（DemilitarizedZone）：通常用于企业内部网络和外部网络之间的小网络区域。

（3）非受信区域Untrust：通常用于外部网络的Internet区域。;DMZ中文名称为“隔离区”，是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。

DMZ位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。;DMZ的访问控制策略;防火墙分类;防火墙产品标准;防火墙产品性能指标;防火墙产品标准演进历史;GB/T20281-2015中防火墙安全技术要求;下一代防火墙产品架构;下一代防火墙应用层处理架构图;在下一代防火墙所采用的单路径处理架构中，数据包经过一次解码，一次性匹配用户ID、应用ID、内容ID，最终将匹配结果同步至安全策略引擎，决定放行或阻断，这是深度集成各安全功能的体现。

在传统UTM所采用的多引擎串行处理架构中，每一个功能是一个独立的引擎，引擎之间并没有协同的机制，所以多引擎串行处理是把数据包串行的、逐个的通过各个引擎去扫描，这种检测效率极低，这也是UTM设备开启越多安全功能，性能衰减越严重的原因。;第2章防火墙技术;目录;1.了解防火墙的会话机制；

2.了解应用识别技术的含义；

3.理解状态检测技术的实现过程并了解其优缺点；

4.理解应用代理技术的原理并了解其优缺点；

5.理解内容检查技术并了解其优缺点；

6.掌握包过滤技术原理及优缺点；

7.掌握DPI技术和DFI技术的区别；;包过滤技术;包过滤防