Uasuuaoon 闵络设备配■静 第12章 防火墙配置与应用 Interne Cop XSA
防火墙配置与应用 第 1 2 章
9-1防火墙简介 9-1-1防火墙的概念 ·防火墙(Firewall)的本义 ·网络中的防火墙是指隔离内部网络与外部 网络之间的一道防御系统,是目前一种最 重要网络防护硬件或软件。 防火墙的图标如图9-1所示
9-1 防火墙简介 9-1-1 防火墙的概念 • 防火墙(Firewall)的本义 • 网络中的防火墙是指隔离内部网络与外部 网络之间的一道防御系统,是目前一种最 重要网络防护硬件或软件。 • 防火墙的图标如图9-1所示
69g 9-1防火墙简介 9-1-2防火墙的功能 ·创建一个阻塞点。 ·隔离不同网络,防止内部信息泄漏。 ·强化网络安全策略。 ·有效地审计和记录内、外部网络上的活动。 ·有效地审计和记录内、外部网络上的活动
9-1 防火墙简介 • 9-1-2 防火墙的功能 • 创建一个阻塞点。 • 隔离不同网络,防止内部信息泄漏。 • 强化网络安全策略。 • 有效地审计和记录内、外部网络上的活动。 • 有效地审计和记录内、外部网络上的活动
6g9 9-1防火墙简介 ·9-1-3防火墙的分类 ·1.按防火墙的软、硬件形式分 ·软件防火墙 ·硬件防火墙 ·芯片级防火墙 ·2.按防火墙技术分 ·包过滤型 ·应用代理型 ss Bo
9-1 防火墙简介 • 9-1-3 防火墙的分类 • 1. 按防火墙的软、硬件形式分 • 软件防火墙 • 硬件防火墙 • 芯片级防火墙 • 2. 按防火墙技术分 • 包过滤型 • 应用代理型
9-1防火墙简介 ·9-13防火墙的分类 ·3.防火墙结构分 ·单一主机防火墙 ·路由器集成式防火墙 ·分布式防火墙 ·4.按防火墙的应用部署位置分 ·边界防火墙 ·个人防火墙 ·混合防火墙
9-1 防火墙简介 • 9-1-3 防火墙的分类 • 3. 防火墙结构分 • 单一主机防火墙 • 路由器集成式防火墙 • 分布式防火墙 • 4. 按防火墙的应用部署位置分 • 边界防火墙 • 个人防火墙 • 混合防火墙
6gg巴 9-1防火墙简介 ·9-1-3防火墙的分类 ·5.按防火墙性能分 ·百兆级防火墙 ·千兆级防火墙 99g
9-1 防火墙简介 • 9-1-3 防火墙的分类 • 5. 按防火墙性能分 • 百兆级防火墙 • 千兆级防火墙
699 9-2防火墙技术 ● 9-2-1包过滤技术 ·优点:包过滤技术的优点在于一个过滤路 由器能协助保护整个网络;数据包过滤对 用户透明;过滤路由器速度快、效率高。 ·包过滤技术的缺点则是不能彻底防止地址 欺骗;一些应用协议不适合于数据包过滤 正常的数据包过滤路由器无法执行某些安 全策略。 2g
9-2 防火墙技术 • 9-2-1 包过滤技术 • 优点:包过滤技术的优点在于一个过滤路 由器能协助保护整个网络;数据包过滤对 用户透明;过滤路由器速度快、效率高。 • 包过滤技术的缺点则是不能彻底防止地址 欺骗;一些应用协议不适合于数据包过滤; 正常的数据包过滤路由器无法执行某些安 全策略
③9-2防火墙技术 9-2-1包过滤技术 在包过滤技术的发展中,出现过两种不同 的技术,即:静态包过滤和动态过滤。 ·包过滤防火墙的典型网络拓扑图如图9-4所 示。 内部网 络 签部网 防火墙 图94包过滤防火墙的典型网络拓扑图
9-2 防火墙技术 • 9-2-1 包过滤技术 • 在包过滤技术的发展中,出现过两种不同 的技术,即:静态包过滤和动态过滤。 • 包过滤防火墙的典型网络拓扑图如图9-4所 示。 外部网 络 防火墙 内部网 络 图 9-4 包过滤防火墙的典型网络拓扑图
⑤ggO ③9-2防火墙技术 ·9-2-2网络地址转换(NAT) ·在防火墙上部署NAT的方式可以有几种: ·M-1:多个内部网络地址转换到1个P地址。 ·11:简单的一对一地址转换。 ·M-N:多个内部网地址转换到N个P地址池
9-2 防火墙技术 • 9-2-2 网络地址转换(NAT) • 在防火墙上部署NAT的方式可以有几种: • M-1:多个内部网络地址转换到1个IP地址。 • 1-1:简单的一对一地址转换。 • M-N:多个内部网地址转换到N个IP地址池
6g9 9-2防火墙技术 9-2-3应用级网关 ·应用级网关技术的主要优点:可以提供用 户级的身份认证、日志记录和帐号管理。 ·应用级网关技术的缺点灵活性不够,严重 制约了新应用的采纳。 st Do
9-2 防火墙技术 • 9-2-3 应用级网关 • 应用级网关技术的主要优点:可以提供用 户级的身份认证、日志记录和帐号管理。 • 应用级网关技术的缺点灵活性不够,严重 制约了新应用的采纳