第四章防火墙技术 第4章防火墙技术 内容提要: 防火墙概述 防火墙的体系结构 >数据包过滤防火墙 代理防火墙 >防火墙应用举例 防火墙脆弱性及其防护对策 防火墙技术发展动态和趋势
第四章 防火墙技术 第4章 防火墙技术 内容提要: ➢ 防火墙概述 ➢ 防火墙的体系结构 ➢ 数据包过滤防火墙 ➢ 代理防火墙 ➢ 防火墙应用举例 ➢ 防火墙脆弱性及其防护对策 ➢ 防火墙技术发展动态和趋势
第四章防火墙技术 41概述 防火墙的定义 防火墙是位于被保护网络和外 部网络之间执行访问控制策略的 个或一组系统,包括硬件和软件, 构成一道屏障,以防止发生对被保 护网络的不可预测的、潜在破坏性 的侵扰
第四章 防火墙技术 4.1 概述 防火墙的定义 防火墙是位于被保护网络和外 部网络之间执行访问控制策略的一 个或一组系统,包括硬件和软件, 构成一道屏障,以防止发生对被保 护网络的不可预测的、潜在破坏性 的侵扰
第四章防火墙技术 防火墙的要点: 防火墙配置在不同网络或网络安全 域之间,它遵循的是一种允许或阻止业务 来往的网络通信安全机制,只允许授权 的通信,尽可能地对外部屏蔽网络内部 的信息、结构和运行状况
第四章 防火墙技术 防火墙的要点: 防火墙配置在不同网络或网络安全 域之间,它遵循的是一种允许或阻止业务 来往的网络通信安全机制,只允许授权 的通信,尽可能地对外部屏蔽网络内部 的信息、结构和运行状况
第四章防火墙技术 防火墙的发展简史 第一代防火墙—采用了包过滤( Packet filter)技术。 第二代防火墙——电路层防火墙 第三代防火墙—应用层防火墙(代理防火墙)的初步 结构 第四代防火墙 1992年,基于动态包过滤 ( Dynamic packet filter)技术 第五代防火墙——自适应代理( Adaptive proxy)技术
第四章 防火墙技术 防火墙的发展简史 第一代防火墙——采用了包过滤(Packet filter)技术。 第二代防火墙——电路层防火墙 第三代防火墙——应用层防火墙(代理防火墙)的初步 结构 第 四 代 防 火 墙 — — 1 9 9 2 年 , 基 于 动 态 包 过 滤 (Dynamic packet filter)技术 第五代防火墙——自适应代理(Adaptive proxy)技术
第四章防火墙技术 防火墙的五大基本功能 过滤进、出网络的数据 管理进、出网络的访问行为; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动; 对网络攻击的检测和告警
第四章 防火墙技术 防火墙的五大基本功能 ➢过滤进、出网络的数据; ➢管理进、出网络的访问行为; ➢封堵某些禁止的业务; ➢记录通过防火墙的信息内容和活动; ➢对网络攻击的检测和告警
第四章防火墙技术 42防火墙体系结构 防火墙可以在OS七层中的五层设置。 人机接口 访问控制策略审计安全管理数据加密 网络互连设备 防火墙组成结构图
第四章 防火墙技术 4.2 防火墙体系结构 防火墙可以在OSI七层中的五层设置。 防火墙组成结构图
第四章防火墙技术 防火墙的体系结构 目前,防火墙的体系结构一般有以下几种: (1)双重宿主主机体系结构; (2)屏蔽主机体系结构; (3)屏蔽子网体系结构
第四章 防火墙技术 防火墙的体系结构 目前,防火墙的体系结构一般有以下几种: (1)双重宿主主机体系结构; (2)屏蔽主机体系结构; (3)屏蔽子网体系结构
第四章防火墙技术 421双重宿主主机体系结构 >围绕具有双重宿主的主机计算机而构筑; >计算机至少有两个网络接口 ≯计算机充当与这些接口相连的网络之间的路 由器; >防火墙内部的系统能与双重宿主主机通信; 防火墙外部的系统(在因特网上)能与双重 宿主主机通信
第四章 防火墙技术 4.2.1 双重宿主主机体系结构 ➢围绕具有双重宿主的主机计算机而构筑; ➢计算机至少有两个网络接口; ➢计算机充当与这些接口相连的网络之间的路 由器; ➢防火墙内部的系统能与双重宿主主机通信; ➢防火墙外部的系统(在因特网上)能与双重 宿主主机通信
第四章防火墙技术 外部网络 防火增 双重宿主主机 内部网络 内部主机 工作站 工作站 工作站 双重宿主主机体系结构
第四章 防火墙技术 双重宿主主机体系结构
第四章防火墙技术 422屏蔽主机体系结构 提供安全保护的堡垒主机仅仅与被保护的内部 网络相连; 是外部网络上的主机连接内部网络的桥梁; 堡垒主机需要拥有高等级的安全; 还使用一个单独的过滤路由器来提供主要安全; 路由器中有数据包过滤策略
第四章 防火墙技术 4.2.2 屏蔽主机体系结构 ➢提供安全保护的堡垒主机仅仅与被保护的内部 网络相连; ➢是外部网络上的主机连接内部网络的桥梁; ➢堡垒主机需要拥有高等级的安全; ➢还使用一个单独的过滤路由器来提供主要安全; ➢路由器中有数据包过滤策略