第7章 防火墙应用技术 防火墙技术是现代网络通信和计算机安全防护体系中的一种重要设备,它通常位于两个或多个网络的边界处,是实施网络之间互连访问控制的一种组件集合。早期的防火墙通常是基于访问控制的包过滤技术构建的,随着网络安全威胁的日益增加和网络技术的发展,当今的防火墙技术也得到了极大地发展,出现了很多新的防火墙技术,如电路级网关技术、状态检测技术、应用网关技术、分布式防火墙技术、嵌入式防火墙技术等,它们有的工作在OSI参考模型的网络层,有的工作在传输层,还有的工作在应用层;在网络部署上,现代防火墙也已经不

Slides:



Advertisements
Similar presentations
NAT与ICMP交互.
Advertisements

第7章 防火墙及其应用 本章学习重点掌握内容: 防火墙功能 防火墙核心技术 防火墙体系结构 2017/3/1.
计算机网络教程 任课教师:孙颖楷.
GOOWI 万物“无”连 --低功耗蓝牙在IoT中的应用    魏心伟 高为通信技术有限公司.
——Windows98与Office2000(第二版) 林卓然编著 中山大学出版社
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第5章 网络安全设计 主讲:易建勋.
初级会计电算化 (用友T3) 制作人:张爱红.
实用操作系统概念 张惠娟 副教授 1.
第十一章 Internet的安全性.
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
第九章 防火墙技术 9.1 防火墙技术概述 9.2 防火墙技术 9.3 防火墙设计实例.
第五章 防火墙技术 深职院 计算机网络技术专业 池瑞楠.
项目四 组建跨地区网络 授课教师:肖颖.
第五章 防火墙技术.
基于解释性语言的手机跨平台架构 Sloan Yi. Qt MTK.
企业级云计算 A Enterprise Cloud Serivce
计算机基础知识 丁家营镇九年制学校 徐中先.
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
格物资讯开放ICON库 V1R1.
第二章 防火墙基础技术.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
瑞斯康达—MSG1500 产品类型:路由器 建议零售价格:198元 上市时间:2017 年 3月
计算机网络原理 徐明伟
DM81X 视频采集处理 ——MCFW框架介绍 广州创龙电子科技有限公司
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
从现在做起 彻底改变你自己 Sanjay Mirchandani EMC公司高级副总裁、首席信息官.
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
管理信息结构SMI.
华为—E8372h- 155 外观设计 产品类型:数据卡 建议零售价格:299元 上市时间:2017年6月7日 目标人群:大众
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
大数据管理技术 --NoSQL数据库 HBase 陈 辉 大数据分析技术.
HL-013 访问控制列表和地址转换 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
数 控 技 术 华中科技大学机械科学与工程学院.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
厂商—型号 海尔-PAD002 外观设计 建议零售价格:2999元 上市时间:2011年3月 目标人群:有移动互联需求的商务人士
PaPaPa项目架构 By:Listen 我在这.
应用实例 识别Ps & Pt ADTS 压力通道并校验 CPD8000 New MENSOR‘s ADTS: CPA8001.
项目十四 防火墙分类与基本配置.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
厂商—型号 荣耀-HiRouter-H1 外观设计 产品类型:无线路由器 建议零售价格:149元 上市时间:2017 年 5月
微机系统的组成.
第四章 团队音乐会序幕: 团队协作平台的快速创建
VisComposer 2019/4/17.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
WPT MRC. WPT MRC 由题目引出的几个问题 1.做MRC-WPT的多了,与其他文章的区别是什么? 2.Charging Control的手段是什么? 3.Power Reigon是什么东西?
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
IT 安全 第 9节 通信和网络控制.
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
谢聪.
实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.
计算机绘图 AutoCAD2016.
网络技术实训 第7讲:网络安全实训 许成刚 信息技术学院
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
ARM裸机第一部分-ARM那些你得知道的事
基于列存储的RDF数据管理 朱敏
网络技术实训 第8讲:NAT防火墙设计讨论 许成刚 信息技术学院
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
入侵检测技术 大连理工大学软件学院 毕玲.
Presentation transcript:

第7章 防火墙应用技术 防火墙技术是现代网络通信和计算机安全防护体系中的一种重要设备,它通常位于两个或多个网络的边界处,是实施网络之间互连访问控制的一种组件集合。早期的防火墙通常是基于访问控制的包过滤技术构建的,随着网络安全威胁的日益增加和网络技术的发展,当今的防火墙技术也得到了极大地发展,出现了很多新的防火墙技术,如电路级网关技术、状态检测技术、应用网关技术、分布式防火墙技术、嵌入式防火墙技术等,它们有的工作在OSI参考模型的网络层,有的工作在传输层,还有的工作在应用层;在网络部署上,现代防火墙也已经不再是一个单兵作战的系统了,很多防火墙都与入侵检测系统、安全审计系统、身份识别系统实现了安全联动,从而形成了一个整体的安全解决方案。

7.1 防火墙概述 网络安全中的防火墙一词借鉴了古代防火墙的喻义,在古代普遍采用木质结构房屋的时候,极易发生火灾,为了防止火灾的发生和蔓延,人们用坚固的石块堆砌在房屋的周围作为一种防火的屏障,人们将这种建筑的防火设置称为“防火墙”。而网络安全中的防火墙通常也是用于隔离本地网络与外界网络间不安全通信的一种防御屏障,目的是保护本地网络不被外部网络攻击。

7.1.1 防火墙的定义和安全要素 防火墙英文名称为Firewall,是一种设置在不同网络或网络安全域之间的设备或软件,它能根据用户的安全策略允许和限制出入安全区域的信息传输流,且本身必须具有较强的抗攻击能力,由于它是不同网络或网络安全域之间信息流通的唯一出入口,因此也是构建用户信息安全服务,实现网络和信息安全的一种基础设施和安全屏障,如图7-1所示。

7.1.1 防火墙的定义和安全要素 随着网络技术的不断发展以及互联网结构的复杂化,网络即网络域边界安全成为最重要的安全问题之一,需要对其进行有效的管理和安全控制,主要可体现在以下几个方面。 1) 网络隔离需求 2) 攻击防范能力 3) 病毒抵御能力 4) 用户管理需求 5) 具有高吞吐量、低延时的快速转发需求 6) 网络优化需求 7) 网络可视化监控

7.1.2 防火墙技术的发展历程和未来趋势 防火墙的发展从采用的基本技术上讲大致经历了5个阶段。 7.1.2 防火墙技术的发展历程和未来趋势 防火墙的发展从采用的基本技术上讲大致经历了5个阶段。 1) 第一代防火墙:包过滤技术 2) 第二代防火墙:电路层防火墙 3) 第三代防火墙:应用层代理防火墙 4) 第四代防火墙:动态包过滤防火墙 5) 第五代防火墙:自适应代理技术防火墙 防火墙的未来发展趋势,主要体现在以下几个方面。 1) 无线网络的用户身份认证和授权 2) 多级过滤技术 3) 病毒防火墙技术 4) 防火墙硬件体系的变化 5) 集中式管理和分布式安全 6) 强大的审计功能和日志自动分析功能 7) 网络安全产品的系统化

7.1.3 影响防火墙性能的关键指标 一般的,衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、平均时延、丢包率以及数据包分类性能等。 防火墙的最大并发连接数是指防火墙能够维持的最大连接总数,而每秒新建连接数反映了防火墙最大的TCP连接速率,它直接影响了防火墙对连接请求的实时反应能力,所以防火墙的每秒新建连接数非常重要。 防火墙的丢包率测试通常是指防火墙在不同传输速率下丢失数据包的百分数,目的在于测试防火墙在超负载情况下的性能。 除了上述这些指标,防火墙还有一个指标非常重要,那就是数据包的分类性能

7.1.4 分布式防火墙 1. 分布式防火墙的产生背景 2. 分布式防火墙的主要特点 3. 分布式防火墙的主要优势 1) 主机驻留方式 7.1.4 分布式防火墙 1. 分布式防火墙的产生背景 2. 分布式防火墙的主要特点 1) 主机驻留方式 2) 内核守护方式 3) 统一安全策略,便于集中管理 4) 适用于服务器托管 3. 分布式防火墙的主要优势 (1) 增强了系统的安全性。 (2) 提高了整个网络的安全处理能力,消除了边界防火墙结构性的瓶颈问题。 (3) 便于整个网络的安全扩展。 (4) 便于控制主机安全策略。 (5) 分布式防火墙的应用更广泛。

4. 分布式防火墙的主要功能 1) Internet访问控制 2) 应用访问控制 3) 网络状态监控 4) 抵御网络攻击 5) 具有日志功能 7.1.4 分布式防火墙 4. 分布式防火墙的主要功能 1) Internet访问控制 2) 应用访问控制 3) 网络状态监控 4) 抵御网络攻击 5) 具有日志功能

7.2 防火墙部署类型 1. 防火墙工作模式 2. 防火墙部署的拓扑类型 1) 路由模式 2) 透明模式 3) NAT模式 4) 混合模式 7.2 防火墙部署类型 1. 防火墙工作模式 1) 路由模式 2) 透明模式 3) NAT模式 4) 混合模式 2. 防火墙部署的拓扑类型 1) 防火墙的单机部署类型 2) 防火墙的集群部署类型

7.3 防火墙的主要应用 当今防火墙已经成为任何完善的网络安全系统不可缺少的重要组成部分,而且随着防火墙技术的不断发展,防火墙的功能和应用也越来越完善,但从实现层次上仍以包过滤技术和应用代理网关技术为核心,本节我们将主要学习一下防火墙的主要应用技术。

7.3.1 应用包过滤技术实现访问控制规则 包过滤技术是防火墙最基本的实现技术,也是防火墙最早采用的技术之一,其原理总结为一句话就是监视并过滤网络上流入流出的数据包,并拒绝发送那些可疑的包。 1. 数据包的构造 2. 数据包的过滤技术

7.3.2 应用状态检测技术实现动态包过滤 1. 状态检测技术的工作原理 2. 状态会话表的维持时间 3. 状态会话表项的拆除

7.3.3 应用层代理网关技术 1. 自适应代理技术的结构原理 2. 结合了动态包过滤的自适应代理技术的应用

7.3.4 防火墙安全操作系统 目前防火墙安全操作系统的实现方式和软硬件架构都有很大差异,但就安全性、可靠性和扩展性来说,防火墙的应用体系结构一般可分为应用层、内核层和硬件层,如图7-21所示。 1) 网络方面 2) 管理方面 3) 资源配置策略 4) 用户认证功能 5) 防火墙功能 6) 智能检测防护技术 7) 高可用性

7.4 典型防火墙的配置 1. 访问控制列表(简称ACL) 2. NAT地址映射的典型配置 1) 访问控制列表的类型 7.4 典型防火墙的配置 1. 访问控制列表(简称ACL) 1) 访问控制列表的类型 (1) 标准访问列表 (2) 扩展访问列表 2) 访问列表的典型配置 (1) 访问列表的配置要点 (2) 常用ACL的配置方法 2. NAT地址映射的典型配置 1) 静态地址转换 2) 动态地址转换 3) PAT地址转换配置 4) 启用TCP负载均衡

3. 防火墙其他典型配置 1) 定义接口的安全级别(区域类型) 2) 定义接口名字 3) 配置接口地址 4) 常见的简单用户安全登录配置 7.4 典型防火墙的配置 3. 防火墙其他典型配置 1) 定义接口的安全级别(区域类型) 2) 定义接口名字 3) 配置接口地址 4) 常见的简单用户安全登录配置 (1) 配置console端口密码 (2) 配置特权密码 (3) 配置远程登录

7.5 本 章 小 结 本章讨论了防火墙的基本概念和发展历史,以及当前主流防火墙应用的一些关键技术。通过本章的学习,读者可以了解防火墙的发展趋势和应用要点。在本章的最后,为读者提供了一些防火墙的典型配置信息,但由于各厂商防火墙的配置差异很大,即便是同一家的防火墙产品,由于IOS版本的不同,配置命令和配置方式也会有较大差异,读者在部署防火墙时应参考具体的实施环境和设备手册,进行合理的设置,但其基本原理和作用是相似的,只有正确地理解了防火墙的概念和应用要点,才能更好地完成防火墙的部署。

7.6 课 后 习 题 1. 填空题 2. 选择题 3. 判断题 4. 简答题 5. 操作题 参见教材P252