第八章防火墙技术及应用-1

防火墙的知识

第8章 防火墙 章 防火墙(Firewall)技术及应用 技术及应用

各式各样的操作系统 Internet 用户

移动 用户 商业伙伴

Internet

企业网

统一的安全策略

分公司

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙技术概述防火墙的概念 防火墙是指设置在不同网络( 防火墙是指设置在不同网络(如可信赖的企业内部 局域网和不可信赖的公共网络) 局域网和不可信赖的公共网络)之间或网络安全域 部件的组合， 监测、 之间的一系列部件的组合 通过监测 限制、 之间的一系列部件的组合，通过监测、限制、更改 进入不同网络或不同安全域的数据流 数据流， 进入不同网络或不同安全域的数据流，尽可能地对 外部屏蔽网络内部的信息、结构和运行状况，以防 外部屏蔽网络内部的信息、结构和运行状况， 止发生不可预测的、潜在破坏性的入侵， 止发生不可预测的、潜在破坏性的入侵，实现网络 的安全保护。 的安全保护。

防火墙 = 硬件 + 软件 + 控制策略

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙是实现网络和信息安全的基础设施， 防火墙是实现网络和信息安全的基础设施，一个高效可靠的 防火墙应用具备以下的基本特性： 防火墙应用具备以下的基本特性： 防火墙是不同网络之间， 防火墙是不同网络之间，或网络的不同安全域之间的唯一出 入口，从里到外(inbound)和从外到里 入口，从里到外 和从外到里(outbound)的所有信 的所有信 息都必须通过防火墙； 息都必须通过防火墙； 通过安全策略来控制不同网络或网络不同安全域之间的通信， 通过安全策略来控制不同网络或网络不同安全域之间的通信， 只有本地安全策略授权的通信才允许通过； 只有本地安全策略授权的通信才允许通过； 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。

Internet外部(不可信 的网络 外部 不可信)的网络 不可信

Intranet内部( 受保护)网络 内部 受保护 网络

不能随便进来， 不能随便进来，当然也不能随便出去

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙的基本功能监控并限制访问 控制协议和服务 保护内部网络 网络地址转换( 网络地址转换(NAT) ) 虚拟专用网( 虚拟专用网(VPN) ) 日志记录与审计

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙的基本原理所有的防火墙功能的实现都依赖于对通过防火墙 所有的防火墙功能的实现都依赖于对通过防火墙 的数据包的相关信息进行检查， 的数据包的相关

信息进行检查，而且检查的项目 越多、层次越深，则防火墙越安全。 越多、层次越深，则防火墙越安全。 由于现在计算机网络结构采用自顶向下的分层模 而分层的主要依据是各层的功能划分， 型，而分层的主要依据是各层的功能划分，不同 层次功能的实现又是通过相关的协议来实现的。 层次功能的实现又是通过相关的协议来实现的。 所以，防火墙检查的重点是网络协议及采用相关 所以，防火墙检查的重点是网络协议及采用相关 协议封装的数据。 协议封装的数据。

防火墙的知识

防火墙用来控制访问 防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙提供的机制 -服务控制 服务控制(service control) 服务控制

和执行站点安全策略 的四种通用技术。 的四种通用技术。

确定可以访问的Internet服务类型 双向的 。防 服务类型(双向的 确定可以访问的 服务类型 双向的)。 火墙可以基于IP地址 协议和TCP端口号对流量 地址、 火墙可以基于 地址、协议和 端口号对流量 进行过滤；或者提供代理软件，对收到的每个服 进行过滤；或者提供代理软件， 务请求进行解释， 务请求进行解释，然后才允许通过

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙提供的机制 -方向控制 方向控制(direction control) 方向控制确定特点服务请求发起和允许通过防火墙的方向。 确定特点服务请求发起和允许通过防火墙的方向。

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙提供的机制 -用户控制 用户控制(user control) 用户控制根据试图访问服务器的用户来控制服务器的访问 权限。 权限。通常这个功能应用于在防火墙周界以内的 用户(即本地用户 。也可以用于来自外部用户的 用户 即本地用户)。 即本地用户 流量。 流量。

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙提供的机制 -行为控制 行为控制(behavior control) 行为控制控制特点服务的使用方法。 控制特点服务的使用方法。 过滤垃圾邮件；控制外部用户只能对本地 过滤垃圾邮件；控制外部用户只能对本地Web服 服 务器上的部分信息进行访问。 务器上的部分信息进行访问。

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙的基本准则默认丢弃-所有未被允许的就是禁止的 默认丢弃 所有未被允许的就是禁止的 先否定一切所有未被允许的就是禁止的， 所有未被允许的就是禁止的，这一准则是指根据用户 的安全管理策略，所有未被允许的通信禁止通过防火墙。 的安全管理策略，所有未被允许的通信禁止通过防火墙。

默认转发-所有未

被禁止的就是允许的 默认转发 所有未被禁止的就是允许的 先肯定一切所有未被禁止的就是允许的， 所有未被禁止的就是允许的，这一准则是指根据用户的 安全管理策略，防火墙转发所有信息流， 安全管理策略，防火墙转发所有信息流，允许所有的用户和 站点对内部网络的访问，然后网络管理员按照IP地址等参数 站点对内部网络的访问，然后网络管理员按照 地址等参数 对未授权的用户或不信任的站点进行逐项屏蔽。 对未授权的用户或不信任的站点进行逐项屏蔽。

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙的应用防火墙在网络中的位置-多应用于一个局域网的出口 防火墙在网络中的位置 多应用于一个局域网的出口 处或置于两个网络中间。 处或置于两个网络中间。

实验室 财务处

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

使用了防火墙后的网络组成-三部分 使用了防火墙后的网络组成 三部分防火墙是构建可信赖网络域的安全产品。当一个网络在加 防火墙是构建可信赖网络域的安全产品。 入了防火墙后，防火墙将成为不同安全域之间的一个屏障， 入了防火墙后，防火墙将成为不同安全域之间的一个屏障， 原来具有相同安全等级的主机或区域将会因为防火墙的介入 而发生变化 . 信赖域和非信赖域DMZ(Demilitarized zone)称为“隔离 称为“

信赖主机和非信赖主机

区”或“非军事 化区” 化区”,它是介 于信赖域和非信 赖域之间的一个 安全区域。 安全区域。

防火墙的知识

防火墙技术及应用第八章 防火墙技术及应用-包过滤防火墙

防火墙应用的局限性防火墙不能防范未通过自身的网络连接 对于有线网络来说， 对于有线网络来说，防火墙是进出 …… 此处隐藏：3033字，全部文档内容请下载后查看。喜欢就下载吧 ……