网络应用技术 第10讲防火墙基础 许成刚 信息管理与信息系统教研室
网络应用技术 第10讲 防火墙基础 许成刚 信息管理与信息系统教研室 1
2 本章主要内容 口防火墙是什么? 口防火墙能干什么? 口防火墙如何实现其功能? 口防火墙的应用模式 米 口实训:个人防火墙的应用 口案例 基于 OPNSense实现企业级防火墙 实训 基于 CheckPoint实现企业级防火墙
本章主要内容 防火墙是什么? 防火墙能干什么? 防火墙如何实现其功能? 防火墙的应用模式 实训:个人防火墙的应用 案例: 基于OPNsense实现企业级防火墙 实训: 基于CheckPoint实现企业级防火墙 2
、防火墙是什么?
一、防火墙是什么? 3
4 1防火墙是什么? 口设置在不同网络(如可信任 的企业内部网络和不可信的 公共网络)或网络安全域之 间的一系列部件的组合。在 ent workstation 逻辑上,防火墙是一个分离外 器、一个分析器,也是一个 Switch Client Workstation 限制器,能够有效地监控流 Firewall 经防火墙的数据,保证内部 网络和隔离区的安全。 File server
1.防火墙是什么? 设置在不同网络(如可信任 的企业内部网络和不可信的 公共网络)或网络安全域之 间的一系列部件的组合。在 逻辑上,防火墙是一个分离 器、一个分析器,也是一个 限制器,能够有效地监控流 经防火墙的数据,保证内部 网络和隔离区的安全。 4
1防火墙是什么? 口防火墙是在两个网络之间执行访问控制策略的一个或一组系统, 包括硬件和软件,其目的是保护网络不被他人侵扰。 口本质上,防火墙遵循的是一种允许或阻止业务来往的网络通信安 全机制,也就是提供可控的、能过滤的网络通信。 运行/阻止
1.防火墙是什么? 防火墙是在两个网络之间执行访问控制策略的一个或一组系统, 包括硬件和软件,其目的是保护网络不被他人侵扰。 本质上,防火墙遵循的是一种允许或阻止业务来往的网络通信安 全机制,也就是提供可控的、能过滤的网络通信。 5 运行 / 阻止
6 1防火墙是什么? 口防火墙最常用的应用是防止 nternet(或其他外部网络)上的危 险(非法访问或攻击等)传播到需要保护的内部网络。 ¤通常防火墙就是位于内部网或Web站点与互联网之间的一个路由器 或一台计算机。 互联网 防火墙 内部 防火墙在网络中的位置
1.防火墙是什么? 防火墙最常用的应用是防止Internet(或其他外部网络)上的危 险(非法访问或攻击等)传播到需要保护的内部网络。 通常防火墙就是位于内部网或Web站点与互联网之间的一个路由器 或一台计算机。 6 防火墙在网络中的位置
1防火墙是什么? 口不管什么种类的防火墙,不论其采用何种技术手段,防火墙都 必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口。 防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的 信息流,且自身具有较强的抗攻击能力(采用不易攻击的专用系统 或采用纯硬件的处理器芯片)。 防火墙本身不能影响正常网络信息的流通
1.防火墙是什么? 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都 必须具有以下三种基本性质: ◼ 防火墙是不同网络之间信息的唯一出入口。 ◼ 防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的 信息流,且自身具有较强的抗攻击能力(采用不易攻击的专用系统 或采用纯硬件的处理器芯片)。 ◼ 防火墙本身不能影响正常网络信息的流通。 7
二、防火墙能做什么?
二、防火墙能做什么? 8
9 2.防火墙能做什么? 口(1)管理和控制网络流量 防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机 典型情况下,防火墙通过检查报文,监控已经存在的连接,而后根 据报文检查结果和检测到的连接进行过滤以达到该目的 口①报文检查 口②连接和状态
2.防火墙能做什么? (1)管理和控制网络流量 ◼ 防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机。 ◼ 典型情况下,防火墙通过检查报文,监控已经存在的连接,而后根 据报文检查结果和检测到的连接进行过滤以达到该目的。 ①报文检查 ②连接和状态 9
10 2防火墙能做什么? 口(2)认证接入 IP地址对,能否就保证通信是合法的? 防火墙可以要求输入一个用户名和密码(通常被称为扩展认证和 802.1x认证)。通过802.1x认证,尝试初始化一个连接的用户在防 火墙允许建立连接之前被提示需要一个用户名和密码,在连接被安 全策略认证成功并授权以后,用户就不再会被要求进行认证。 ■通过实施认证,防火墙可以有额外的办法确保连接是否应该被允许, 即使报文从基于对状态化连接检查的角度来讲是被允许的,但如果 主机不能和防火墙之间认证成功,这个报文仍然会被丢弃
2.防火墙能做什么? (2)认证接入 ◼ IP地址对,能否就保证通信是合法的? ◼ 防火墙可以要求输入一个用户名和密码(通常被称为扩展认证和 802.1x认证)。通过802.1x认证,尝试初始化一个连接的用户在防 火墙允许建立连接之前被提示需要一个用户名和密码,在连接被安 全策略认证成功并授权以后,用户就不再会被要求进行认证。 ◼ 通过实施认证,防火墙可以有额外的办法确保连接是否应该被允许, 即使报文从基于对状态化连接检查的角度来讲是被允许的,但如果 主机不能和防火墙之间认证成功,这个报文仍然会被丢弃。 10
