网络技术实训 第7讲:网络安全实训 许成刚 信息技术学院 2018.10
网络技术实训 第7讲:网络安全实训 许成刚 信息技术学院 2018.10 1
一、防火墙技术及设计实现
一、防火墙技术及设计实现 2
1防火墙是什么? 口设置在不同网络(如可信任 的企业内部网络和不可信的 公共网络)或网络安全域之 间的一系列部件的组合。在 Client Workstation 逻辑上,防火墙是一个分离外 器、一个分析器,也是一个 Switch Client Workstation 限制器,能够有效地监控流 Firewall 经防火墙的数据,保证内部 网络和隔离区的安全。 File Se
1.防火墙是什么? 设置在不同网络(如可信任 的企业内部网络和不可信的 公共网络)或网络安全域之 间的一系列部件的组合。在 逻辑上,防火墙是一个分离 器、一个分析器,也是一个 限制器,能够有效地监控流 经防火墙的数据,保证内部 网络和隔离区的安全。 3
1防火墙是什么? □防火墙是在两个网络之间执行访问控制策略的一个或一组系统, 包括硬件和软件,其目的是保护网络不被他人侵扰 口本质上,防火墙遵循的是一种允许或阻止业务来往的网络通信安 全机制,也就是提供可控的、能过滤的网络通信。 运行/阻止
1.防火墙是什么? 防火墙是在两个网络之间执行访问控制策略的一个或一组系统, 包括硬件和软件,其目的是保护网络不被他人侵扰。 本质上,防火墙遵循的是一种允许或阻止业务来往的网络通信安 全机制,也就是提供可控的、能过滤的网络通信。 4 运行 / 阻止
5 1防火墙是什么? 口防火墙最常用的应用是防止 nternet(或其他外部网络)上的危 险(非法访问或攻击等)传播到需要保护的内部网络 通常防火墙就是位于内部网或Web站点与互联网之间的一个路由器 或一台计算机。 互联网 防火墙 内部网 防火墙在网络中的位置
1.防火墙是什么? 防火墙最常用的应用是防止Internet(或其他外部网络)上的危 险(非法访问或攻击等)传播到需要保护的内部网络。 通常防火墙就是位于内部网或Web站点与互联网之间的一个路由器 或一台计算机。 5 防火墙在网络中的位置
1防火墙是什么? 口不管什么种类的防火墙,不论其采用何种技术手段,防火墙都 必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口。 ■防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的 信息流,且自身具有较强的抗攻击能力(采用不易攻击的专用系统 或采用纯硬件的处理器芯片)。 ■防火墙本身不能影响正常网络信息的流通
1.防火墙是什么? 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都 必须具有以下三种基本性质: ◼ 防火墙是不同网络之间信息的唯一出入口。 ◼ 防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的 信息流,且自身具有较强的抗攻击能力(采用不易攻击的专用系统 或采用纯硬件的处理器芯片)。 ◼ 防火墙本身不能影响正常网络信息的流通。 6
2防火墙能做什么? ¤(1)管理和控制网络流量 ■防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机。 典型情况下,防火墙通过检查报文,监控已经存在的连接,而后根 据报文检查结果和检测到的连接进行过滤以达到该目的。 口①报文检查 口②连接和状态
2.防火墙能做什么? (1)管理和控制网络流量 ◼ 防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机。 ◼ 典型情况下,防火墙通过检查报文,监控已经存在的连接,而后根 据报文检查结果和检测到的连接进行过滤以达到该目的。 ①报文检查 ②连接和状态 7
8 2.防火墙能做什么? 口(2)认证接入 ■|P地址对,能否就保证通信是合法的? 防火墙可以要求输入一个用户名和密码(通常被称为扩展认证和 802.1x认证)。通过802.1x认证,尝试初始化一个连接的用户在防 火墙允许建立连接之前被提示需要一个用户名和密码,在连接被安 全策略认证成功并授权以后,用户就不再会被要求进行认证。 ■通过实施认证,防火墙可以有额外的办法确保连接是否应该被允许, 即使报文从基于对状态化连接检查的角度来讲是被允许的,但如果 主机不能和防火墙之间认证成功,这个报文仍然会被丢弃
2.防火墙能做什么? (2)认证接入 ◼ IP地址对,能否就保证通信是合法的? ◼ 防火墙可以要求输入一个用户名和密码(通常被称为扩展认证和 802.1x认证)。通过802.1x认证,尝试初始化一个连接的用户在防 火墙允许建立连接之前被提示需要一个用户名和密码,在连接被安 全策略认证成功并授权以后,用户就不再会被要求进行认证。 ◼ 通过实施认证,防火墙可以有额外的办法确保连接是否应该被允许, 即使报文从基于对状态化连接检查的角度来讲是被允许的,但如果 主机不能和防火墙之间认证成功,这个报文仍然会被丢弃。 8
9 2.防火墙能做什么? 口(3)作为中间媒介 ■通常认为设备的直接连接会有很大风险,所以通常会采用中间媒介 去保护其资源,从而避免直接连接带来的风险 基于同样的想法,防火墙可以通过配置来担当两台主机通信进程中 的媒介,这个中间媒介进程通常被认为是一个代理。 代理 外网主机 (处理、重建、转发) 内网主机
2.防火墙能做什么? (3)作为中间媒介 ◼ 通常认为设备的直接连接会有很大风险,所以通常会采用中间媒介 去保护其资源,从而避免直接连接带来的风险。 ◼ 基于同样的想法,防火墙可以通过配置来担当两台主机通信进程中 的媒介,这个中间媒介进程通常被认为是一个代理。 9 外网主机 代理 (处理、重建、转发) 内网主机
10 2.防火墙能做什么? (4)保护资源 ■防火墙的一个很重要的功能就是保护资源免受威胁。 ■这种保护是通过使用接入访问控制规则、状态化报文检查、应用代 理或是结合以上所有方法去阻止被保护的主机被恶意访问或者被恶 意流量感染来实现的 ■防火墙并非永远不会犯错(依靠策略),例如web服务器有漏洞
2.防火墙能做什么? (4)保护资源 ◼ 防火墙的一个很重要的功能就是保护资源免受威胁。 ◼ 这种保护是通过使用接入访问控制规则、状态化报文检查、应用代 理或是结合以上所有方法去阻止被保护的主机被恶意访问或者被恶 意流量感染来实现的。 ◼ 防火墙并非永远不会犯错(依靠策略),例如Web服务器有漏洞。 10