第九章 防火墙技术 9.1 防火墙技术概述 9.2 防火墙技术 9.3 防火墙设计实例.

Slides:



Advertisements
Similar presentations
网络管理员考证辅导 —— 真题解析 广东水利电力职业技术学院 计算机系 温海燕
Advertisements

高级服务器设计和实现 1 —— 基础与进阶 余锋
NAT与ICMP交互.
大勇國小六年三班 指導老師:林靜宜 ♂第四組成員♂ 賴懿綾★賴欣慧 魯宛憶★陳昱如 周家圓★李奕璇 ★許賀晴★
第7章 防火墙应用技术 防火墙技术是现代网络通信和计算机安全防护体系中的一种重要设备,它通常位于两个或多个网络的边界处,是实施网络之间互连访问控制的一种组件集合。早期的防火墙通常是基于访问控制的包过滤技术构建的,随着网络安全威胁的日益增加和网络技术的发展,当今的防火墙技术也得到了极大地发展,出现了很多新的防火墙技术,如电路级网关技术、状态检测技术、应用网关技术、分布式防火墙技术、嵌入式防火墙技术等,它们有的工作在OSI参考模型的网络层,有的工作在传输层,还有的工作在应用层;在网络部署上,现代防火墙也已经不
第7章 防火墙及其应用 本章学习重点掌握内容: 防火墙功能 防火墙核心技术 防火墙体系结构 2017/3/1.
计算机网络教程 任课教师:孙颖楷.
数字化校园建设与思考 扬州大学信息中心 沈 洁 2017年3月3日.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
六己第一組 指導老師:鄭素美 老師 組員:呂頤姍,白宇軒,葉米柑 吳國逸,吳育銘,陳佳豐
网络设计与管理实践 首都师范大学信息工程学院.
第十一章 Internet的安全性.
实验八 配置动态路由-OSPF协议.
第3章 网络防御技术 指导教师:杨建国 2013年8月10日.
第17章 实现路由器.
项目四 组建跨地区网络 授课教师:肖颖.
Oracle数据库 Oracle 子程序.
网络地址转换(NAT) 及其实现.
信息安全与管理 第九章 防火墙.
潘爱民,北京大学计算机研究所 网络与信息安全 网络安全 (一) 潘爱民,北京大学计算机研究所
计算机网络原理 徐明伟
第二讲 搭建Java Web开发环境 主讲人:孙娜
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
从现在做起 彻底改变你自己 Sanjay Mirchandani EMC公司高级副总裁、首席信息官.
存储系统.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
SVN服务器的搭建(Windows) 柳峰
管理信息结构SMI.
网络常用常用命令 课件制作人:谢希仁.
华为—E8372h- 155 外观设计 产品类型:数据卡 建议零售价格:299元 上市时间:2017年6月7日 目标人群:大众
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
HL-013 访问控制列表和地址转换 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
乐驾-车载无线终端-CARRO 产品类型:车载无线路由器 建议零售价格:¥599 江苏鸿信
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第17章 网站发布.
数据挖掘工具性能比较.
PaPaPa项目架构 By:Listen 我在这.
华南师范大学 防火墙 华南师范大学
项目十四 防火墙分类与基本配置.
DevDays ’99 The aim of this mission is knowledge..
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
程序设计工具实习 Software Program Tool
SOA – Experiment 2: Query Classification Web Service
实用网络营销基础 冯英健 2006年8月6日 首页.
電子郵件簡介.
第四章 团队音乐会序幕: 团队协作平台的快速创建
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
EC5373u-819 产品介绍 外观设计 产品类型:MIFI 建议零售价格:499元 上市时间:14 年 12 月12日
电子经费卡用户使用方法 浙江大学图书与信息中心.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
电子经费卡用户使用方法 浙江大学图书与信息中心.
IT 安全 第 9节 通信和网络控制.
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
iSIGHT 基本培训 使用 Excel的栅栏问题
透明接入WAF
谢聪.
機構督導: 范盛翔 督導 實習生: 佛光大學社會學系江佳穎 實習日期: 7/1(二)~8/29(五)
基于列存储的RDF数据管理 朱敏
本节内容 动态链接库 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
实验六静态路由.
入侵检测技术 大连理工大学软件学院 毕玲.
实验六、COM类型病毒分析实验 实验开发教师: 刘乃琦 谌黔燕.
Presentation transcript:

第九章 防火墙技术 9.1 防火墙技术概述 9.2 防火墙技术 9.3 防火墙设计实例

本章学习目标 (1)了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。 (2)掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式;熟悉防火墙的常见体系结构。 (3)熟悉防火墙的产品选购和设计策略。 返回本章首页

9.1 防火墙技术概述 9.1.1 防火墙的定义 9.1.2 防火墙的发展简史 9.1.3 设置防火墙的目的和功能 9.1 防火墙技术概述 9.1.1 防火墙的定义 9.1.2 防火墙的发展简史 9.1.3 设置防火墙的目的和功能 9.1.4 防火墙的局限性 9.1.5 防火墙技术发展动态和趋势 返回本章首页

9.1.1 防火墙的定义 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。图9.1为防火墙示意图。

图9.1 防火墙示意图 返回本节

9.1.2 防火墙的发展简史 第一代防火墙:采用了包过滤(Packet Filter)技术。 9.1.2 防火墙的发展简史 第一代防火墙:采用了包过滤(Packet Filter)技术。 第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构。 第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。 第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。

图9.2 防火墙技术的简单发展历史 返回本节

9.1.3 设置防火墙的目的和功能 (1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 9.1.3 设置防火墙的目的和功能 (1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄 返回本节

9.1.4 防火墙的局限性 (1)防火墙防外不防内。 (2)防火墙难于管理和配置,易造成安全漏洞。 9.1.4 防火墙的局限性 (1)防火墙防外不防内。 (2)防火墙难于管理和配置,易造成安全漏洞。 (3)很难为用户在防火墙内外提供一致的安全策略。 (4)防火墙只实现了粗粒度的访问控制。 返回本节

9.1.5 防火墙技术发展动态和趋势 (1)优良的性能 (2)可扩展的结构和功能 (3)简化的安装与管理 (4)主动过滤 9.1.5 防火墙技术发展动态和趋势 (1)优良的性能 (2)可扩展的结构和功能 (3)简化的安装与管理 (4)主动过滤 (5)防病毒与防黑客 返回本节

9.2 防火墙技术 9.2.1 防火墙的技术分类 9.2.2 防火墙的主要技术及实现方式 9.2.3 防火墙的常见体系结构 返回本章首页

9.2.1 防火墙的技术分类 1.包过滤防火墙 2.代理防火墙 3.两种防火墙技术的对比

1.包过滤防火墙 (1)数据包过滤技术的发展:静态包过滤、动态包过滤。 (2)包过滤的优点:不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。

(3)包过滤的缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;安全性较差 ;数据包工具存在很多局限性。

图9.3 包过滤处理

图9.4 静态包过滤防火墙

图9.5 动态包过滤防火墙

2.代理防火墙 (1)代理防火墙的原理: 代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图9.6所示。

(2)应用层网关型防火墙: 主要保存Internet上那些最常用和最近访问过的内容:在Web上,代理首先试图在本地寻找数据,如果没有,再到远程服务器上去查找。为用户提供了更快的访问速度,并且提高了网络安全性。应用层网关的工作原理如图9.7所示。应用层网关防火墙最突出的优点就是安全,缺点就是速度相对比较慢。

(3)电路层网关防火墙 在电路层网关中,包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包,如图9.8所示。电路层网关防火墙的工作原理如图9.9所示电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。

(4)代理技术的优点 1)代理易于配置。 2)代理能生成各项记录。 3)代理能灵活、完全地控制进出流量、内容。 4)代理能过滤数据内容。 5)代理能为用户提供透明的加密机制。 6)代理可以方便地与其他安全手段集成。

(5)代理技术的缺点 1)代理速度较路由器慢。 2)代理对用户不透明。 3)对于每项服务代理可能要求不同的服务器。 4)代理服务不能保证免受所有协议弱点的限制。 5)代理不能改进底层协议的安全性。

图9.6 代理的工作方式

图9.7 应用层网关防火墙

图9.8 电路层网关

图9.9 电路层网关防火墙

3.两种防火墙技术的对比 表9.1 两种防火墙技术 返回本节

9.2.2 防火墙的主要技术及实现方式 1.双端口或三端口的结构 2.透明的访问方式 3.灵活的代理系统 4.多级的过滤技术 9.2.2 防火墙的主要技术及实现方式 1.双端口或三端口的结构 2.透明的访问方式 3.灵活的代理系统 4.多级的过滤技术 5.网络地址转换技术(NAT) 6.网络状态监视器

7.Internet网关技术 8.安全服务器网络(SSN) 9.用户鉴别与加密 10.用户定制服务 11.审计和告警 12.应用网关代理

16.隔离域名服务器(Split Domain Name Sever) 13.回路级代理服务器 14.代管服务器 15.IP通道(IP Tunnels) 16.隔离域名服务器(Split Domain Name Sever) 17.邮件转发技术(Mail Forwarding) 返回本节

9.2.3 防火墙的常见体系结构 1.屏蔽路由器(如图9.10所示) 2.双穴主机网关(如图9.11所示) 9.2.3 防火墙的常见体系结构 1.屏蔽路由器(如图9.10所示) 2.双穴主机网关(如图9.11所示) 3.屏蔽主机网关(如图9.12所示) 4.被屏蔽子网(如图9.13所示)

图9.10 屏蔽路由器示意图

图9.11 双穴主机网关示意图

图9.12 屏蔽主机网关示意图

图9.13 被屏蔽子网防火墙示意图 返回本节

9.3 防火墙设计实例 9.3.1 防火墙产品选购策略 9.3.2 典型防火墙产品介绍 9.3.3 防火墙设计策略 9.3 防火墙设计实例 9.3.1 防火墙产品选购策略 9.3.2 典型防火墙产品介绍 9.3.3 防火墙设计策略 9.3.4 Windows 2000环境下防火墙及NAT的实现 返回本章首页

9.3.1 防火墙产品选购策略 1.防火墙的安全性 2.防火墙的高效性 3.防火墙的适用性 4.防火墙的可管理性 5.完善及时的售后服务体系 9.3.1 防火墙产品选购策略 1.防火墙的安全性 2.防火墙的高效性 3.防火墙的适用性 4.防火墙的可管理性 5.完善及时的售后服务体系 返回本节

9.3.2 典型防火墙产品介绍 1.3Com Office Connect Firewall 9.3.2 典型防火墙产品介绍 1.3Com Office Connect Firewall 新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。   Office Connect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击,它还可以限制局域网用户对Internet的不恰当使用。        

Office Connect Internet Firewall DMZ可支持多达100个局域网用户,这使局域网上的公共服务器可以被Internet访问,又不会使局域网遭受攻击。      3Com公司所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。它们使整个办公室可以共享ISP提供的一个IP地址,因而节省开支。

2.Cisco PIX防火墙 (1)实时嵌入式操作系统。 (2)保护方案基于自适应安全算法(ASA),可以确保最高的安全性。   (3)用于验证和授权的“直通代理”技术。    (4)最多支持250 000个同时连接。    (5) URL过滤。

(7)通过电子邮件和寻呼机提供报警和告警通知。 (6)HP Open View集成。 (7)通过电子邮件和寻呼机提供报警和告警通知。   (8)通过专用链路加密卡提供VPN支持。  (9)符合委托技术评估计划(TTAP),经过了美国安全事务处(NSA)的认证,同时通过中国公安部安全检测中心的认证(PIX520除外)。 返回本节

9.3.3 防火墙设计策略 1.防火墙的系统环境 取消危险的系统调用;限制命令的执行权限;取消IP的转发功能;检查每个分组的接口;采用随机连接序号;驻留分组过滤模块;取消动态路由功能;采用多个安全内核等等。

2.设置防火墙的要素 高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。

3.服务访问策略 允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。

4.防火墙设计策略 允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用,第二种是好用但不安全,通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。 返回本节

9.3.4 Windows 2000环境下防火墙及NAT的实现 1.实现方法 通过网络地址转换把内部地址转换成统一的外部地址,避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测,可以启用Microsoft Proxy Server的动态包过滤功能和IP分段过滤,达到端口隐形的效果。

2.案例环境 假定有一台Web服务器(WWW),地址为10.1.0.20,其完整域名为:www.target.com,对应解析的IP地址为192.168.0.10,,在其上装有两块网卡,命名为本地连接1和本地连接2,它们的IP地址分别为:10.1.0.1和192.168.0.9。

3.MS Windows 2000 NAT网络地址转换的实现 (1)路由和远程访问服务 (2)网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。

表9.2 地址和特殊端口配置

表9.3 内部地址欺骗过滤配置

表9.4 外部地址欺骗过滤配置

4.MS Proxy Server动态包过滤和反向代理

图9.14 Proxy Server功能的配置界面

表9.5 一条记录条目的说明

表9.6 动态包过滤规则 返回本节

THANK YOU VERY MUCH ! 本章到此结束, 谢谢您的光临! 结束放映 返回本章首页