计算机两貉 防火墙 西安电子科技大学 刘杯亮
计 算 机 网 络 ——防火墙 西安电子科技大学 刘怀亮
内容提要 令防火墙分类 令防火墙配置
内容提要 ❖ 防火墙分类 ❖ 防火墙配置
防火墙”是一种形象的说法 防火墙是位于两个信任程度不同的阌络之间 (如 Intranet与 Internet)的软件与硬件设备的 组合,它对雨个网络之间的通信进行控制,通过 强制实施统一的安全策略防止对重要信息资 源的法存取与访间,以达到保护系统安全的 目的
❖ “防火墙”是一种形象的说法 ❖ 防火墙是位于两个信任程度不同的网络之间 (如Intranet与Internet)的软件与硬件设备的 组合,它对两个网络之间的通信进行控制,通过 强制实施统一的安全策略,防止对重要信息资 源的非法存取与访问,以达到保护系统安全的 目的
防火墙的功能 ◆防火墙是网络的第一道防线 令一个成功的防火墙应当具有下面的基本要求: 防火墙的设计策略应当遵循安全防范的基本原贝 除非明 确允许,否则就禁止! 今防火墙本身支持安全策略.而不是添加上去的 令安全策略变化。它可以加入新服务 今可以运用过滤技术——允许或禁止服务 今可使用先进的认证手段 界面友好,易于配置。可根据数据包的性质进行过滤
一、防火墙的功能 ❖ 防火墙是网络的第一道防线 ❖ 一个成功的防火墙应当具有下面的基本要求: ❖ 防火墙的设计策略应当遵循安全防范的基本原则——除非明 确允许,否则就禁止! ❖ 防火墙本身支持安全策略,而不是添加上去的 ❖ 安全策略变化,它可以加入新服务 ❖ 可以运用过滤技术——允许或禁止服务 ❖ 可使用先进的认证手段 ❖ 界面友好,易于配置,可根据数据包的性质进行过滤
令基本功能 今允许网管定义一个中心点来防止用户进入内部 网络 令可以很方便地监视网络安全性。并报警 冷可以部署NAT(网络地址转换),将有限的IP 地址动态或静态地与内部I地址对应起来。用 以缓解地址空间的短缺冋题 今是审计和记录 Internet使用费用的一个最佳地 点
❖ 基本功能: ❖ 允许网管定义一个中心点来防止用户进入内部 网络 ❖ 可以很方便地监视网络安全性,并报警 ❖ 可以部署NAT(网络地址转换),将有限的IP 地址动态或静态地与内部IP地址对应起来,用 以缓解地址空间的短缺问题 ❖ 是审计和记录Internet使用费用的一个最佳地 点
今用户可能考慮的特殊功能需求 冷虚拟专用网络(VPN) 令扫毒功能 令特殊控制需求
❖ 用户可能考虑的特殊功能需求: ❖ 虚拟专用网络(VPN) ❖ 扫毒功能 ❖ 特殊控制需求
防火墙分类 今主要分类如下: 软件防火墙 从软硬件形式上分了硬件防火墙 芯片级防火墙 冷从防火墙技术上分「包过滤型 应用代理型 单一主机防火墙 按防火墙应用部署分个错 今从防火墙结构上分 路由器集成式 分布式防 边界防火 混合防火墙 按防火墙性能分为百兆级防火描 7不不
二、防火墙分类 ❖ 主要分类如下: ❖ 从软硬件形式上分 ❖ 从防火墙技术上分 ❖ 从防火墙结构上分 ❖ 按防火墙应用部署分 ❖ 按防火墙性能分为 软件防火墙 硬件防火墙 芯片级防火墙 包过滤型 应用代理型 单一主机防火墙 路由器集成式防火墙 分布式防火墙 边界防火墙 个人防火墙 混合防火墙 百兆级防火墙 千兆级防火墙
1、防火墙从软硬件形式上分 令如果从防火墙的软、硬件形式来分的话,防火墙可 以分为软件防火墙和硬件防火墙以及苾片级防火墙 今第一种:软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安 装好的计算机操作系统的支持,一般来说这台计算机就是 整个网络的网关 软件防火墙就像其它的软件产品一样需要先在计算机上 安装并做好配置才可以使用 使用这类防火墙,需要网管对所工作的操作系统平合比 较熟悉
1、防火墙从软硬件形式上分 ❖ 如果从防火墙的软、硬件形式来分的话,防火墙可 以分为软件防火墙和硬件防火墙以及芯片级防火墙。 ❖ 第一种:软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安 装好的计算机操作系统的支持,一般来说这台计算机就是 整个网络的网关。 ❖ 软件防火墙就像其它的软件产品一样需要先在计算机上 安装并做好配置才可以使用。 ❖ 使用这类防火墙,需要网管对所工作的操作系统平台比 较熟悉
今第二种:硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。 之所以加上所谓二字是针对芯片级防火墙而言的。它们 最大的差别在于是否基于专用的硬件平台。 令目前市场上大多数防火墙都是这种所谓的硬件防火墙, 他们都基于PC架构,就是说。它们和普通的家庭用的PC没有 太大区别。在这些PC架构计算机上运行一些经过裁剪和简化 的操作系统,最常用的有老版本的Unix、 Linux和 FreeBSD系 统。值得注意的是,由于此类防火墙采用的依然是别人白 内核,因此依然会受到0S(操作系统)本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口,分别接内网 外网和DM区(非军事化区),现在一些新的硬件防火墙往 往扩展了端口,常见四端口防火墙一般将第四个端口做为配 置口、管理端口。很多防火墙还可以进一步扩展端口数目
❖ 第二种:硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙” 。 ❖ 之所以加上“所谓”二字是针对芯片级防火墙而言的。它们 最大的差别在于是否基于专用的硬件平台。 ❖ 目前市场上大多数防火墙都是这种所谓的硬件防火墙, 他们都基于PC架构,就是说,它们和普通的家庭用的PC没有 太大区别。在这些PC架构计算机上运行一些经过裁剪和简化 的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系 统。 值得注意的是,由于此类防火墙采用的依然是别人的 内核,因此依然会受到OS(操作系统)本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口,分别接内网, 外网和DMZ区(非军事化区),现在一些新的硬件防火墙往 往扩展了端口,常见四端口防火墙一般将第四个端口做为配 置口、管理端口。很多防火墙还可以进一步扩展端口数目
今第三种:花片级防火墙 芯片级防火墙基于专门的硬件平台, 专有的片促使它们比其他种类的防火墙 速度更快,处理能力更强,性能更高。 冷这类防火墙由于是专用0S(操作系统), 因此防火墙本身的漏洞比较少,不过价格相 对比较高昂
❖ 第三种:芯片级防火墙 芯片级防火墙基于专门的硬件平台。 ❖ 专有的芯片促使它们比其他种类的防火墙 速度更快,处理能力更强,性能更高。 ❖ 这类防火墙由于是专用OS(操作系统), 因此防火墙本身的漏洞比较少,不过价格相 对比较高昂