(熔合布线》精货潮共享翼 学习卡片 认识防火墙学习卡片 内容摄述 本知识主要让学生了解防火墙类型、掌握防火墙的功能和工作原理。并能根据网络需求 正确选择防火墙。 重点和难点 重点: ①防火墙的功能: ②防火墙的工作原理: ③防火墙的这购, com 难点: ①防火墙的功能: ②防火墙的工作原理. TC 学习内容 1防火墙的概述 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共 网之间的界面上构造的保护屏障。它实际上是一种隔离技术,是一种计算机硬件和软件的结 合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内 部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个 部分组成。 2.防火墙类型 防火墙产品常之多,划分的标准也比较茶。主要分类如下: (1)从款、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。 (2)从防火墙技术分为“包过滤型”和“应用代理型”两大类。 (3)从防火墙结构分为《单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (4)按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类
《综合布线》精品资源共享课 学习卡片 1 认识防火墙 本知识主要让学生了解防火墙类型、掌握防火墙的功能和工作原理。并能根据网络需求 正确选择防火墙。 重点: ①防火墙的功能; ②防火墙的工作原理; ③防火墙的选购。 难点: ① 防火墙的功能; ② 防火墙的工作原理。 1.防火墙的概述 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共 网之间的界面上构造的保护屏障。它实际上是一种隔离技术,是一种计算机硬件和软件的结 合,使 Internet 与 Intranet 之间建立起一个安全网关(Security Gateway),从而保护内 部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个 部分组成。 2.防火墙类型 防火墙产品非常之多,划分的标准也比较杂。 主要分类如下: (1)从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 (2)从防火墙技术分为 “包过滤型”和“应用代理型”两大类。 (3)从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 (4) 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类
(缘合布线)精品资源共享灵 学习卡片 (5) 按防火墙性能分为百宽级防火墙和千兆级防火墙两类, 3.防火墙的功能 (1)防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤 不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环 境变得更安全。 (2)防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、 市计等)配置在防火墙上。与将网路安全问题分散到各个主机上相比,防火墙的集中安全管 理更经济。 (3)对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访间并作出日志记录,同 时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提 供网络是否受到监测和攻击的详细信息。 (4)防止内部信息的外濯: 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重 点或敏感网铬安全问恩对全局网络造成的影响。 4.防火墙工作原理 (1)包过滤防火墙 包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如1P地址,包过滤防火 墙的工作原理是:系统在网铬层检查数据包,与应用层无关。这样系统就具有很好的传输性 能,可扩展能力强。但是,包过滤助火墙的安全性有一定的缺陷,因为系统对应用层信息无 感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。 (2)应用网关防火墙 应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提 高网络的安全性。然而应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机 /服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外, 每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加 针对此应用的服务程序,否测不能使用该服务,所以应用网关防火墙具有可仲缩性差的缺点 (3)状态检测防火墙
《综合布线》精品资源共享课 学习卡片 2 (5) 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。 3.防火墙的功能 (1)防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤 不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环 境变得更安全。 (2)防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、 审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管 理更经济。 (3)对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同 时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提 供网络是否受到监测和攻击的详细信息。 (4)防止内部信息的外泄: 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重 点或敏感网络安全问题对全局网络造成的影响。 4. 防火墙工作原理 (1)包过滤防火墙 包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如 IP 地址。包过滤防火 墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性 能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无 感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。 (2)应用网关防火墙 应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提 高网络的安全性。然而应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机 /服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外, 每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加 针对此应用的服务程序,否则不能使用该服务。所以应用网关防火墙具有可伸缩性差的缺点。 (3)状态检测防火墙
(合布视)精品魔覆共享湿 学习卡片 状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明 的。这种防火墙撕弃了简单包过滤防火墙仅仅考察进出网铬的数据包,不关心数据包状态的 缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的 事件来处理,可以这样说,状态检测包过滤防火墙规范了网铬层和传输层行为,而应用代理 型防火墙则是规范了特定的应用协议上的行为。 (4)复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于S1C架 构,把防病毒、内容过滤整合到防火墙里,其中还包括VP、I5功能,多单元融为一体,是 一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描, 把防病毒、内容过滤与防火墙结合起米,这体现了网铬与信息安全的新思路。它在网络边界 实范SI第七层的内容扫描,实现了实时在网路边缘布署病毒防护,内容过滤等应用层服务 指随。 5.防火墙的选购 防火墙的选购与其它网铬设各和选购差不多,主要是考虑到品胂和性能。不同品牌、不 同型号差别较大,是整个防火墙选购注意事项中的关健所在。防火墙选购主要从以下性能角 度来考虑。 (1)产品类型 (2)1AN接口 (3》协议支持 (4)访问控制配置 (5)自身的可靠性 (6)防御功能 (7)管理功能
《综合布线》精品资源共享课 学习卡片 3 状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明 的。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的 缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的 事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理 型防火墙则是规范了特定的应用协议上的行为。 (4)复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于 ASIC 架 构,把防病毒、内容过滤整合到防火墙里,其中还包括 VPN、IDS 功能,多单元融为一体,是 一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描, 把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界 实施 OSI 第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务 措施。 5. 防火墙的选购 防火墙的选购与其它网络设备和选购差不多,主要是考虑到品牌和性能。不同品牌、不 同型号差别较大,是整个防火墙选购注意事项中的关键所在。防火墙选购主要从以下性能角 度来考虑。 (1)产品类型 (2)LAN 接口 (3)协议支持 (4)访问控制配置 (5)自身的可靠性 (6)防御功能 (7)管理功能