第七章防火墙的构造与选择 7.1防火墙概迹 7.2防火墙的基本体系结构 7.3防火墙的选择与实施 7.4主要的防火墙产品
第七章 防火墙的构造与选择 7.1 防火墙概述 7.2 防火墙的基本体系结构 7.3 防火墙的选择与实施 7.4 主要的防火墙产品
7.1防火墙概述 >防火墙( Firewa11)的定义: 防火墙是用来限制被保护的网络与互联网络 之间,或者与其他网络之间相互进行信息存取、传递 操作的部件或部件集。 >防火墙应具备的条件 >内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙
7.1 防火墙概述 ➢防火墙(Firewall)的定义: ——防火墙是用来限制被保护的网络与互联网络 之间,或者与其他网络之间相互进行信息存取、传递 操作的部件或部件集。 ➢防火墙应具备的条件: ➢内部和外部之间的所有网络数据流必须经过防火墙 ➢只有符合安全策略的数据流才能通过防火墙
防火墙的控制能力 >服务控制:确定哪些服务可以被访问 >方向控制:对于特定的服务,可以确定允许哪个 方向能够通过防火墙 >用户控制:根据用户来控制对服务的访问 行为控制:控制一个特定的服务的行为
➢服务控制:确定哪些服务可以被访问 ➢方向控制:对于特定的服务,可以确定允许哪个 方向能够通过防火墙 ➢用户控制:根据用户来控制对服务的访问 ➢行为控制:控制一个特定的服务的行为 防火墙的控制能力
防火墙的作用 >定义了一个必经之点 挡住未经授权的访问流量 实施保护,以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置,所以, 可以在防火墙上实现审计和报警 对于有些 Internet功能来说,防火墙也可以是一个 理想的平台,比如地址转换(NAT), Internet日志, 甚至计费功能
➢定义了一个必经之点 ➢挡住未经授权的访问流量 ➢实施保护,以避免各种IP欺骗和路由攻击 ➢防火墙提供了一个监视各种安全事件的位置,所以, 可以在防火墙上实现审计和报警 ➢对于有些Internet功能来说,防火墙也可以是一个 理想的平台,比如地址转换(NAT),Internet日志, 甚至计费功能 防火墙的作用
防火墙的策略 构筑防火墙之前,需要制定一套有效的安全策略 >网络服务访问策略 种高层次的具体到事件的策略,主要用于定义在网络中 允许或禁止的服务 防火墙设计策略 切未被允许的就是禁止的—安全性好,但是用户 所能使用的服务范围受到严格限制 切未被禁止的都是允许的—可以为用户提供更多 的服务,但是在日益增多的网络服务面前,很难为用户提 供可靠的安全防护
构筑防火墙之前,需要制定一套有效的安全策略 防火墙的策略 ➢网络服务访问策略 一种高层次的具体到事件的策略,主要用于定义在网络中 允许或禁止的服务。 ➢防火墙设计策略 ➢一切未被允许的就是禁止的——安全性好,但是用户 所能使用的服务范围受到严格限制。 ➢一切未被禁止的都是允许的——可以为用户提供更多 的服务,但是在日益增多的网络服务面前,很难为用户提 供可靠的安全防护
防火墙的基本类型 >包过滤型( Packet filter) >代理服务器型( Proxy Service) >复合型防火墙( Hybrid)
➢包过滤型(Packet Filter) ➢代理服务器型(Proxy Service) ➢复合型防火墙(Hybrid) 防火墙的基本类型
包过滤型 >基本思想 对于每个进来的包适用一组规则,然后决定转发或 丢弃该包 >如何过滤 过滤的规则以IP层和运输层的头中的字段为基础 过滤器往往建立一组规则,根据IP包是否匹配规 则中指定的条件来作出决定: >如果匹配到一条规则,则根据此规则决定转发或者丢弃 ≯如果所有规则都不匹配,则根据缺省策略
➢基本思想 对于每个进来的包适用一组规则,然后决定转发或 丢弃该包 包过滤型 ➢如何过滤 ➢过滤的规则以IP层和运输层的头中的字段为基础 ➢过滤器往往建立一组规则,根据IP包是否匹配规 则中指定的条件来作出决定: ➢如果匹配到一条规则,则根据此规则决定转发或者丢弃 ➢如果所有规则都不匹配,则根据缺省策略