《防火墙知识》ppt课件

《《防火墙知识》ppt课件》由会员分享，可在线阅读，更多相关《《防火墙知识》ppt课件（15页珍藏版）》请在金锄头文库上搜索。

1、防火墙目的：建立在内外网络边界上的过滤封锁机制，防止不希望的、未经授权的信息进出被保护的网络，通过边界控制，强化内部网络的安全政策。,防火墙主要功能： （1）访问控制 （2）内容控制 （3）日志功能 （4）集中管理 （5）自身安全和可用性 其它附加功能： （1）VPN（2）NAT（3）流量控制（4）其它,防火墙的局限性： （1）无法防止绕过防火墙的攻击 （2）无法防止病毒攻击 （3）无法防止数据驱动型攻击 （4）无法防止内部网络的恶意攻击 （5）无法防止不断更新的攻击,防火墙几乎是与路由器同步产生，它所应用的主要防护手段： （1）包过滤 （2）代理服务 （3）状态检测,包过滤技术： 通过检查数

2、据流中每一个数据包的： （1）源IP地址 （2）目的IP地址 （3）源端口号 （4）目的端口号 （5）协议类型等因素或它们的组合来确定是否允许该数据包通过。,代理服务技术（应用级网关）：代理服务是运行在防火墙主机上的一些特定的应用程序或软件 作用：代理主机处理所有的内部网络与外部Internet服务之间的通信，从而避免了它们间的直连。 优点：适合做日志、允许用户“直接”访问Internet 缺点：消耗资源、延迟、无法透明地支持各种应用服务、客户端需要作修改、无法保护因协议本身缺陷所带来的危害,电路级网关型防火墙：监视两条主机间的连接是否合法，仅对有效的连接进行数据的复制、转发 优点：透明性高、

3、隐藏网络内部信息 缺点：对建立连接后的传输内容不做检查,状态包检测技术：是一种基于连接的状态检测技术，将属于同一个连接的所有数据包当作一个整体的数据流来看待，构成连接状态表，通过规则表与状态表的配合，对表中的各个连接状态因素加以识别。动态连接状态表的信息可以是以前的通信信息，也可以是其它相关应用程序的信息。 缺点：允许用户和外部主机的直连、不提供基于用户身份的鉴别,防火墙性能指标： （1）时延：从入口处进入的输入帧的最后一比特，到出口发出输出帧的第一个比特输出所用的时间间隔，衡量防火墙处理数据包的快慢 （2）吞吐量：防火墙在不丢包的情况下，能达到的最大数据包转发量 （3）并发连接数：穿越防火墙

4、的主机之间或主机与防火墙之间能建立的最大连接数 （4）背对背：检测防火墙处理突发数据流量的能力 （4）丢包率：在连续负载情况下，指防火墙在资源耗尽情况下，应转发却转发失败的帧所占的比例，衡量防火墙的稳定性和可靠性,防火墙体系结构： （1）双重宿主主机：具有两个接口，同时可与内、外部主机进行通信，是 内、外主机相互通信的跳板；可以安装有防火墙软件或者是代理服务 器软件，实现对内外通信的策略控制 优点：体系建构简单，易实现 缺点：对外暴露，当被攻破后，整个内部网络安全得不到保障,（2）被屏蔽主机体系结构：使用屏蔽路由器将内、外网络分开；屏蔽路由器主要用于数据包的过滤，处于路由器后的堡垒主机是内外进

5、行通信的唯一节点，需要有更高的安全等级 优点：更高的可用性和安全性（相对于前一种体系结构） 缺点：复杂，不易管理,（3）被屏蔽子网体系结构：在被屏蔽主机体系结构中添加了额外的安全层，有一个“缓冲区”，DMZ在内外之间形成一个隔离带 优点：入侵者必须突破三个不同设备；保护内部网络信息，只将DMZ信息暴露于外，且可控制对外服务类型；内部网络用户只能通过驻留在堡垒主机上的代理服务进行对外的访问 缺点：实施和管理比较复杂,防火墙发展趋势,随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。 1、包过滤技术发展趋势 （1）一些防火墙

6、厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能，但身份认证功能越强大，对通信带来的负面效果就越明显，尤其是带有加密的身份认证 （2）多级过滤技术：在网络层、传输层、应用层都对数据包进行过滤，并辅以其它的鉴别手段 （3）防火墙具有防病毒功能 2、防火墙体系结构的发展 各种应用的增加，对网络带宽和速率的要求不断提高，尤其是多媒体通信及应用，要求防火墙带来的延迟降到最低 （1）基于ASIC：纯硬件，使用专门的硬件进行网络数据的处理，但灵活性差，不易更新 （2）基于网络处理器：更多的依赖于软件的实现，有专门的引擎进行数据包的处理任务，减轻了负担，且

7、具有强大的灵活性和可扩展性 3、防火墙系统管理 （1）集中式管理：主要是应对未来“分布式防火墙”的发展，集中管理便于施行统一的管理策略，减少分散管理带来的负担，实现快速响应和快速防御 （2）审计功能和自动分析日志功能,可以更早的发现潜在的攻击及早进行预防，日志功能有助于管理员发现漏洞，及时的做出安全策略的更改 （3）网络安全产品的系统化：通过建立一个“以防火墙为核心”的体系，对整个网络的安全进行全方位的防护，可以将各种网络安全设备如IPS、IDS以及防病毒的产品与防火墙进行结合,购买防火墙需要注意的几点问题 1、安全性：包括自身的安全性、访问控制能力以及抗攻击能力 2、网络性能：在保证安全的基础上，最大限度的减少对网络性能的影响 3、网络功能：如NAT、负载均衡、双机热备、adsl、dhcp等等 4、管理功能：管理的界面、对日志的处理等 5、质量：关键设备要有冗余设计,