第第 8章章 网关网关本章学习目标:本章学习目标:Ø网关网关Ø网关的分网关的分类Ø防火防火墙Ø防火防火墙的作用的作用Ø防火防火墙常常见的几种的几种类型型Ø如何在网如何在网络中配置防火中配置防火墙�28.1、网关(、网关(Gateway))•网关网关是高层上的一种互联设备,它具有协议转是高层上的一种互联设备,它具有协议转换,数据重新分组的功能,以便在不同类型换,数据重新分组的功能,以便在不同类型(不同格式、协议、结构)的网之间通信不同格式、协议、结构)的网之间通信,可以可以概括为能够连接不同网络的软件和硬件的结合概括为能够连接不同网络的软件和硬件的结合产品•网关能运行在网关能运行在OSI模型的所有层上所以可以模型的所有层上所以可以实现各种应用进行通信,建立和管理会话,传实现各种应用进行通信,建立和管理会话,传输已经编码的数据,并解析逻辑和物理地址数输已经编码的数据,并解析逻辑和物理地址数据与路由器相比具有功能强大、传输内容复据与路由器相比具有功能强大、传输内容复杂、传输速度低、价格贵特点杂、传输速度低、价格贵特点1.网关概述网关概述�32.网关的分类网关的分类面向连接网关,面向无连接网关面向连接网关,面向无连接网关半网关、全网关模型半网关、全网关模型协议网关协议网关、、应用网关应用网关和和安全网关安全网关�4•协议网关常用于使用不同协议的网络间协议网关常用于使用不同协议的网络间的协议转换的协议转换•协议转换可发生于协议转换可发生于OSI的第二层、第三的第二层、第三层和该两层之间层和该两层之间•协议网关又分协议网关又分通道网关通道网关、、专用网关专用网关和和第第二层协议网关二层协议网关三种三种((1)).协议网关协议网关�5协议网关应用举例IPV4 LAN1IPV4 LAN2IPV6 WANG1G2vLAN1的的IPV4分组经分组经G1封装转换成封装转换成IPV6分组分组vWAN的的IPV6分组经分组经G2拆封还原成拆封还原成IPV4分组传送分组传送到到LAN2v协议转换即数据格式的转换协议转换即数据格式的转换�6((2)).应用网关应用网关•应用网关是在两种不同格式间翻译数据的系统;应用网关是在两种不同格式间翻译数据的系统;•应用网关充当连接不相容的源和目的的中间点;应用网关充当连接不相容的源和目的的中间点;•例如两个物理网的电子邮件格式不同,邮件专用例如两个物理网的电子邮件格式不同,邮件专用网关能使双方都清楚从对方传递过来的电子邮件网关能使双方都清楚从对方传递过来的电子邮件的控制信息。
的控制信息�7((3)).安全网关安全网关•这里的安全是指防止这里的安全是指防止“黑客黑客”的访问,的访问,以免网络资源被泄密甚至被损害以免网络资源被泄密甚至被损害•安全网关是若干技术的组合,这些技术安全网关是若干技术的组合,这些技术包括包括分组过滤器分组过滤器、、电路网关电路网关和和应用网关应用网关•分组过滤器分组过滤器是最基本的安全屏蔽形式,是最基本的安全屏蔽形式,它是由软件对每个分组进行合法性判断,它是由软件对每个分组进行合法性判断,以过滤非法分组的传输以过滤非法分组的传输�8(3).安全网关•电路网关电路网关是借助一个代理服务器,它有一个是借助一个代理服务器,它有一个唯一并公开的地址,把安全域中的计算机地唯一并公开的地址,把安全域中的计算机地址隐藏起来,外界用户只面对代理服务器,址隐藏起来,外界用户只面对代理服务器,它能阻塞非法访问它能阻塞非法访问• 应用网关应用网关是在每个被保护的主机上安装高度是在每个被保护的主机上安装高度专用的应用软件,对主机实现更严格的安全专用的应用软件,对主机实现更严格的安全性监控例如病毒检测软件就属于此范围性监控例如病毒检测软件就属于此范围�9(3).安全网关•所有形式的安全网关,无论是分组所有形式的安全网关,无论是分组级、电路级,还是应用级的,都能级、电路级,还是应用级的,都能对网络提供必要保护对网络提供必要保护�108.2 8.2 防火防火墙概述概述 �11 破坏者破坏者红客红客间谍间谍技术爱好者技术爱好者好奇的年青人好奇的年青人……1 1、影响网络安全的人群、影响网络安全的人群 2 2、网络攻击的层次、网络攻击的层次 第一层:第一层:基于应用层的操作基于应用层的操作。
如如拒绝服务或邮件炸弹攻击拒绝服务或邮件炸弹攻击第二层:第二层:指本地用户获得不应获得的文件指本地用户获得不应获得的文件( (或目录或目录) )读权限读权限第三层:第三层:指本地用户获得不应获得的文件指本地用户获得不应获得的文件( (或目录或目录) )写写权限权限第四层:第四层:指外部用户获得访问内部文件的权利指外部用户获得访问内部文件的权利 第五层:第五层:指获得特权文件的写权限指获得特权文件的写权限第六层:第六层:指获得系统管理员的权限或根权限指获得系统管理员的权限或根权限网络安全网络安全�12n1、隐藏、隐藏IPn2、、踩点扫描踩点扫描n3、获得系统或管理员权限、获得系统或管理员权限n4、种植后门、种植后门n5、在网络中隐身、在网络中隐身3 3、网络攻击的步骤、网络攻击的步骤 攻击技术:攻击技术:网络踩点、网络扫描和网络监听网络安全网络安全�134 4、网络攻击手段、网络攻击手段n社会工程学攻击社会工程学攻击n物理攻击物理攻击n暴力攻击暴力攻击n利用利用Unicode漏洞攻击漏洞攻击n利用缓冲区溢出漏洞进行攻击利用缓冲区溢出漏洞进行攻击n……网络安全网络安全�14n1、防火墙技术、防火墙技术n2、、入侵检测技术入侵检测技术n3、系统脆弱性扫描技术、系统脆弱性扫描技术n4、隔离技术、隔离技术n5、、VPN技术技术n6、网络防病毒技术、网络防病毒技术n7、数据加密技术、数据加密技术n……5 5、网络防护的方法、网络防护的方法 网络安全网络安全�158.2 8.2 防火防火墙概述概述 通常意义上的防火墙:通常意义上的防火墙: ◆ ◆不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道 ◆ ◆只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过 ◆ ◆系统自身具有高安全性和高可靠性系统自身具有高安全性和高可靠性注意区分个人防火墙、病毒防火墙注意区分个人防火墙、病毒防火墙 防火墙是位于两个防火墙是位于两个( (或多个或多个) )网络间,实施网络网络间,实施网络间访问控制的一组组件的集合。
防火墙的英文名为间访问控制的一组组件的集合防火墙的英文名为““FireWallFireWall””,,它是最重要的网络防护设备之一它是最重要的网络防护设备之一1 1、基本概念、基本概念 �16 网络边界网络边界即是采用不同安全策略的两个网络连即是采用不同安全策略的两个网络连接处,比如用户网络和因特网之间连接、和其他业接处,比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之务往来单位的网络连接、用户内部网络不同部门之间的连接等间的连接等8.2 8.2 防火防火墙概述概述 (1)(1)不同安全级别的网络或安全域之间的唯一通道不同安全级别的网络或安全域之间的唯一通道 防火墙的目的防火墙的目的就是在网络连接之间建立一个安就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的的数据流,实现对进、出内部网络的服务和访问的审计和控制审计和控制�178.2 8.2 防火防火墙概述概述 (2)(2)只有被防火墙策略明确授权的通信才可以通过只有被防火墙策略明确授权的通信才可以通过�188.2 8.2 防火防火墙概述概述 (3)(3)系统自身具有高安全性和高可靠性系统自身具有高安全性和高可靠性 防火墙自身应具有非常强的抗攻击免疫力是防防火墙自身应具有非常强的抗攻击免疫力是防火墙之所以能担当企业内部网络安全防护重任的先火墙之所以能担当企业内部网络安全防护重任的先决条件。
决条件 防火墙自身具有非常低的服务功能,除了专门防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行墙上运行 一般采用一般采用LinuxLinux、、UNIXUNIX或或FreeBSDFreeBSD系统作为支撑系统作为支撑其工作的操作系统其工作的操作系统 �198.2 8.2 防火防火墙概述概述 2 2、防火墙的功能、防火墙的功能 1 1)限定内部用户访问特殊站点限定内部用户访问特殊站点 2 2)防止未授权用户访问内部网络防止未授权用户访问内部网络 3 3)允许内部网络中的用户访问外部网络的服)允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源务和资源而不泄漏内部网络的数据和资源 4 4)记录通过防火墙的信息内容和活动记录通过防火墙的信息内容和活动 5 5)对网络攻击进行监测和报警对网络攻击进行监测和报警�208.2 8.2 防火防火墙概述概述 2 2、防火墙的功能、防火墙的功能( (续续) )防火墙的防火墙的基本功能基本功能::访问控制访问控制访问控制访问控制l 基于源基于源MACMAC地址地址l 基于目的基于目的MACMAC地址地址l 基于源基于源IPIP地址地址l 基于目的基于目的IPIP地址地址l 基于源端口基于源端口l 基于目的端口基于目的端口 l 基于方向基于方向l 基于时间基于时间l 基于用户基于用户l 基于流量基于流量l 基于内容基于内容�21Ø路由功能路由功能ØNATNAT功能功能ØVPNVPN功能功能Ø用户认证用户认证8.2 8.2 防火防火墙概述概述 2 2、防火墙的功能、防火墙的功能( (续续) )防火墙的防火墙的扩展功能扩展功能::Ø带宽控制带宽控制Ø日志审计日志审计Ø流量分析流量分析�228.2 8.2 防火防火墙概述概述 3 3 防火墙的发展简史 防火墙的发展简史第一代防火墙:采用了包过滤(Packet Filter)技术。
第二、三代防火墙:1989年,推出了电路层防火墙,和应用层防火墙的初步结构第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙�23图图8.2 防火墙技术的简单发展历史 防火墙技术的简单发展历史 返回本节�248.8.3 3 防火防火墙在网在网络中的位置中的位置 安装防火墙以前的网络安装防火墙以前的网络 �258.8.3 3 防火防火墙在网在网络中的位置中的位置 安装防火墙后的网络安装防火墙后的网络 �26 DMZDMZ是为了解决安装防火墙后外部网络不能访问内部是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的网络服务器的问题,而设立的一个非安全系统与安全系统一个非安全系统与安全系统之间的缓冲区之间的缓冲区,这个缓冲区位于企业内部网络和外部网络,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,之间的小网络区域内,在这个小网络区域内可以放置一些在这个小网络区域内可以放置一些必须公开的服务器设施必须公开的服务器设施,如企业,如企业WebWeb服务器、服务器、FTPFTP服务器和服务器和论坛等。
论坛等 通过这样一个通过这样一个DMZDMZ区域,更加有效地保护了内部网络,区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡这样,不管是外部还是内部与对外服说又多了一道关卡这样,不管是外部还是内部与对外服务器交换信息数据也要通过防火墙,实现了真正意义上的务器交换信息数据也要通过防火墙,实现了真正意义上的保护 8.8.3 3 防火防火墙在网在网络中的位置中的位置 DMZDMZ区区(demilitarized zonedemilitarized zone,,也称非军事区也称非军事区) )�278.8.4 4 防火防火墙的体系的体系结构构 防火防火墙的体系的体系结构一般有以下几种构一般有以下几种: :1 1)双重宿主主机体系)双重宿主主机体系结构2 2)屏蔽主机体系)屏蔽主机体系结构3 3)屏蔽子网体系结构屏蔽子网体系结构�288.8.4 4 防火防火墙的体系的体系结构构1 1、、双重宿主主机体系双重宿主主机体系结构构 双重宿主主机体系结构是围绕具有双重宿主的主机计算双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。
可机而构筑的,该计算机至少有两个网络接口可充当与充当与这些些接口相接口相连的网的网络之之间的路由器;它能的路由器;它能够从一个网从一个网络到另一个到另一个网网络发送送IPIP数据包 实现双重宿主主机的防火墙体系结构禁止这种发送功能实现双重宿主主机的防火墙体系结构禁止这种发送功能因而,因而,IPIP数据包从一个网络(例如,因特网)并不是直接发数据包从一个网络(例如,因特网)并不是直接发送到其他网络(例如,内部的、被保护的网络)防火墙内送到其他网络(例如,内部的、被保护的网络)防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信它们之间的直接互相通信它们之间的IPIP通信被完全阻止通信被完全阻止 �298.8.4 4 防火防火墙的体系的体系结构构2 2、屏蔽主机体系结构、屏蔽主机体系结构 屏蔽主机体系屏蔽主机体系结构使用一个构使用一个单独的路由器提供来自独的路由器提供来自仅仅与内部的网与内部的网络相相连的主机的服的主机的服务。
堡垒主机是互堡垒主机是互联网上的主机联网上的主机能连接到内部能连接到内部网络上的系统网络上的系统的桥梁的桥梁 数据包过滤也数据包过滤也许堡垒主机开许堡垒主机开放可允许的连放可允许的连接到外部世界接到外部世界 �308.8.3 3 防火防火墙的体系的体系结构构3 3、屏蔽子网体系结构、屏蔽子网体系结构 屏蔽子网体系屏蔽子网体系结构添加构添加额外的安全外的安全层到被屏蔽主机体到被屏蔽主机体系系结构,即通构,即通过添加周添加周边网网络更更进一步地把内部网一步地把内部网络和外和外部网部网络(通常是(通常是InternetInternet))隔离开 �31 最最简单的形式的形式为:两个屏蔽路由器,每一个都:两个屏蔽路由器,每一个都连接到接到周周边网 一个位于周一个位于周边网网络络与内部网与内部网络之之间,另一个位于周,另一个位于周边网与外部网网与外部网络(通常(通常为InternetInternet))之之间这样就在内部网就在内部网络与外部网与外部网络之之间形成了一个形成了一个““隔离隔离带”” 8.8.3 3 防火防火墙的体系的体系结构构3 3、屏蔽子网体系结构、屏蔽子网体系结构( (续续) ) 侵侵袭者必者必须通通过两个路由器。
即使侵两个路由器即使侵袭者侵入堡者侵入堡垒主主机,它将仍然必机,它将仍然必须通通过内部路由器内部路由器�32 软件防火件防火墙和和硬件防火硬件防火墙以及以及芯片芯片级防火防火墙 8.8.4 4 防火防火墙的的类型与特点型与特点 8.4.1 8.4.1 按物理按物理实体分体分类 X86X86架构架构((PCPC架构工控机)架构工控机)NPNP架构架构((网络处理器)网络处理器)ASICASIC架构架构((专用集成电路)专用集成电路)至少应具备三个端口,分别接内网、外至少应具备三个端口,分别接内网、外网和网和DMZDMZ区(非军事区)区(非军事区) �33 防火防火墙的工作方式主要分的工作方式主要分包包过滤型型和和应用代理型用代理型两种两种 8.8.4 4 防火防火墙的的类型与特点型与特点 8.4.8.4.2 2 按工作方式分按工作方式分类 1 1.包过滤型.包过滤型 包过滤(包过滤(Packet filteringPacket filtering))型防火墙工作在型防火墙工作在OSIOSI网络参考模型的网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。
只有满足过滤条件的数据包才被转发到相型等标志确定是否允许通过只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃应的目的地,其余数据包则被从数据流中丢弃 �348.8.4 4 防火防火墙的的类型与特点型与特点 8.4.8.4.2 2 按工作方式分按工作方式分类((续续)) 2 2..应用代理型用代理型 应用代理型防火墙应用代理型防火墙(Application Proxy) (Application Proxy) 是工作在是工作在OSIOSI的最高层,的最高层,即应用层其特点是完即应用层其特点是完全全““阻隔阻隔””了网络通信了网络通信流,通过对每种应用服流,通过对每种应用服务编制专门的代理程序,务编制专门的代理程序,实现监视和控制应用层实现监视和控制应用层通信流的作用通信流的作用 �358.8.4 4 防火防火墙的的类型与特点型与特点 8.4.3 8.4.3 按部署按部署结构分构分类 从防火从防火墙结构分构分为单一主机防火一主机防火墙、路由器集成、路由器集成式防火式防火墙和分布式防火和分布式防火墙三种 单一主机防火墙:单一主机防火墙:是最为传统的防火墙,独立于其它网络设备,是最为传统的防火墙,独立于其它网络设备,它位于网络边界。
它位于网络边界与一台与一台计算机算机结构差不多,价格昂构差不多,价格昂贵 路由器集成式防火路由器集成式防火墙::这种防火墙通常是较低级的包过滤型许这种防火墙通常是较低级的包过滤型许多中、高档路由器中集成了防火墙功能,如多中、高档路由器中集成了防火墙功能,如CiscoIOSCiscoIOS防火墙系列这防火墙系列这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本 分布式防火墙:分布式防火墙:不只是位于网络边界,而是渗透于网络的每一台不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护在网络服务器中,通常会安主机,对整个内部网络的主机实施保护在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的卡功能的PCIPCI防火墙卡防火墙卡 �368.8.4 4 防火防火墙的的类型与特点型与特点 8.4.4 8.4.4 按部署位置分按部署位置分类 按防火按防火墙的的应用部署位置分用部署位置分为边界防火界防火墙、个人、个人防火防火墙和混合式防火和混合式防火墙三大三大类。
8.4.5 8.4.5 按性能分按性能分类 按防火按防火墙性能分性能分为百兆百兆级防火防火墙和和千兆千兆级防火防火墙两两类目前还针对小企业用户(网络流量小、用户数目前还针对小企业用户(网络流量小、用户数量较少)生产出了量较少)生产出了桌面型防火墙桌面型防火墙�37防火墙的优点防火墙的优点防火墙能强化安全策略防火墙能有效地记录网上活动限制暴露用户点防火墙是一个安全策略的检查点8.8.4 4 防火防火墙的的类型与特点型与特点 �38防火墙的局限性防火墙的局限性防火墙防外不防内防火墙难于管理和配置,易造成安全漏洞很难为用户在防火墙内外提供一致的安全策略防火墙只实现了粗粒度的访问控制8.8.4 4 防火防火墙的的类型与特点型与特点 �398.8.5 5 防火防火墙的的工作模式与主要技术工作模式与主要技术8.5.1 8.5.1 防火墙的工作模式防火墙的工作模式 防火防火墙的的工作模式有路由模式、透明桥模式和混工作模式有路由模式、透明桥模式和混合模式合模式三大三大类 路由模式路由模式::防火墙可以充当路由器,提供路由功能防火墙可以充当路由器,提供路由功能。
透明桥模式透明桥模式::防火墙可以方便的接入到网络,而且保持所有防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变的网络设备配置完全不变混合模式混合模式::防火墙同时工作在路由模式和桥模式防火墙同时工作在路由模式和桥模式�40路由模式路由模式防火墙缺省工作模式,防火防火墙缺省工作模式,防火墙可以充当路由器,提供路墙可以充当路由器,提供路由功能由功能FTPwwwDMZ区内部网络连接连接DMZDMZ的接口需要设置成公的接口需要设置成公网地址或在出接口启用网地址或在出接口启用destination natdestination nat防火墙的各个接口处于不同防火墙的各个接口处于不同的网段的网段Internet�41策略路由策略路由 �42透明模式(桥模式)透明模式(桥模式)L3 SwitchRouter防火墙可以方便的接入到网防火墙可以方便的接入到网络,而且保持所有的网络设络,而且保持所有的网络设备配置完全不变备配置完全不变此时防火墙类似网桥的工作此时防火墙类似网桥的工作方式,降低网络管理的复杂方式,降低网络管理的复杂度度Internet内部网络�43混合模式混合模式桥防火墙同时工作在路防火墙同时工作在路由模式和桥模式由模式和桥模式FTPwwwDMZ区内部网络Internet路由NAT�44防火墙的网桥接口防火墙的网桥接口启用启用NATNAT转换转换外部接口和外部接口和DMZDMZ接接口组成透明方式口组成透明方式混合模式防火墙的应用混合模式防火墙的应用�451.双端口或三端口的结构.双端口或三端口的结构2.透明的访问方式.透明的访问方式3.灵活的代理系统.灵活的代理系统4.多级的过滤技术.多级的过滤技术5.网络地址转换技术(.网络地址转换技术(NAT))6.网络状态监视器.网络状态监视器7..Internet网关技术网关技术8.安全服务器网络(.安全服务器网络(SSN))9.用户鉴别与加密.用户鉴别与加密8.5.2 8.5.2 防火墙的主要技术防火墙的主要技术8.8.5 5 防火防火墙的的工作模式与主要技术工作模式与主要技术�461010.用户定制服务.用户定制服务1111.审计和告警.审计和告警1212.应用网关代理.应用网关代理1313.回路级代理服务器.回路级代理服务器1414.代管服务器.代管服务器1515..IPIP通道(通道(IP TunnelsIP Tunnels))1616.. 隔隔 离离 域域 名名 服服 务务 器器 (( Split Split Domain Domain Name Name SeverSever))1717.邮件转发技术(.邮件转发技术(Mail ForwardingMail Forwarding))8.5.2 8.5.2 防火墙的主要技术防火墙的主要技术8.8.5 5 防火防火墙的的工作模式与主要技术工作模式与主要技术�47l源源ipip地址转换(地址转换(NATNAT))l目的目的ipip地址转换(目的地址转换(目的ipip地址映射地址映射/MAP//MAP/反向反向NATNAT))l一对一一对一/ /静态静态ipip地址转换地址转换/SAT/SATl地址池(地址池(ip pool))l目的端口转换(端口映射目的端口转换(端口映射/PAT/PAT))l地址伪装地址伪装l透明应用代理透明应用代理NAT (NAT (网络地址转换网络地址转换) )8.5.2 8.5.2 防火墙的主要技术防火墙的主要技术8.8.5 5 防火防火墙的的工作模式与主要技术工作模式与主要技术�48应用一:目的端口映射应用一:目的端口映射在WIN2K中端口映射查开放端口的小程序�49应用二:防BT�50应用三:防Flood攻击HackerICMP FloodICMP FloodUDP FloodUDP FloodTCP FloodTCP Flood目标网络•基于数据流的防范基于数据流的防范•基于数据包的防范基于数据包的防范当源当源主机在主机在1 1秒内发起的秒内发起的连接数连接数达到达到门限值门限值时,在时,在该秒内的剩余时段和该秒内的剩余时段和下一秒下一秒中,中,丢弃丢弃该源主机发起的该源主机发起的同同类类连接连接当源当源主机在主机在1 1秒内发出的数据包达到秒内发出的数据包达到门限值门限值时,在时,在该秒内的剩余时段和该秒内的剩余时段和下一秒下一秒中中,,丢弃丢弃该源主机发出的该源主机发出的同同类类数据数据�51大集成,需解决模块安全大集成,需解决模块安全8.6 8.6 防火防火墙的的发展展趋势 大多数防火墙的功能都比较全面,几乎包括了所有的安大多数防火墙的功能都比较全面,几乎包括了所有的安全功能,如全功能,如VPNVPN、、防病毒、防病毒、IDSIDS、、安全审计等。
性能不断提升,安全审计等性能不断提升,国内已有千兆线速防火墙;架构已发生变化,从国内已有千兆线速防火墙;架构已发生变化,从X86X86架构,架构,开始向开始向ASICASIC、、NPNP等网络设备标准架构蜕变等网络设备标准架构蜕变功能性能不断突破:需解决集成、核心技术功能性能不断突破:需解决集成、核心技术 下一代网络的新需求:下一代网络的新需求:IPv6IPv6网络需求网络需求 高速、安全、可用:高速、安全、可用:高性能高性能、、抗抗毁毁、、业务连续 �528.8.7 7 应用案例应用案例( (一一) )::某市局网上下互连某市局网上下互连 防火墙网络地址分配防火墙网络地址分配外口:外口:221.12.118.179/29内口:内口:10.33.120.20/24DMZ口:口:21.24.117.2�538.8.7 7 应用案例应用案例( (二二) )::单计算机保护单计算机保护 利用防火墙软件实现目前可选天网、瑞星、趋势、诺利用防火墙软件实现目前可选天网、瑞星、趋势、诺顿等此处以单机版软件为例,介绍防火墙规则设置与使用此处以单机版软件为例,介绍防火墙规则设置与使用。
(有条件的应该安排有条件的应该安排3-43-4次防火墙实验,如端口设置、次防火墙实验,如端口设置、NATNAT、、规则管理、规则管理、VPNVPN及与及与IDSIDS的联动等的联动等) )�54瑞瑞星星个个人人防防火火墙墙的的设设置置与与使使用用�55瑞瑞星星个个人人防防火火墙墙的的设设置置与与使使用用�56本章小结本章小结 防防火火墙是是隔隔离离在在本本地地网网络与与外外界界网网络之之间执行行访问控控制制策策略略的的一一道道防防御御系系统,,目目的的是是保保护网网络不不被被他他人人侵侵扰防防火火墙在在企企业内内网网与与InternetInternet之之间或与其他外部网或与其他外部网络互相隔离、限制网互相隔离、限制网络互互访,从而实现,从而实现内网保内网保护 典典型型的的防防火火墙具具有有三三个个基基本本特特性性::①①内内部部网网络和和外外部部网网络之之间的的所所有有网网络数数据据流流都都必必须经过防防火火墙;;②②只只有有符符合合安安全全策策略略的的数数据据流流才才能能通通过防防火火墙;;③③防火防火墙自身自身应具有非常具有非常强强的抗攻的抗攻击免疫力 防防火火墙具具有有以以下下几几种种功功能能::①①限限定定内内部部用用户访问特特殊殊站站点点;;②②防防止止未未授授权用用户访问内内部部网网络;;③③允允许内内部部网网络中中的的用用户访问外外部部网网络的的服服务和和资源源而而不不泄泄漏漏内内部部网网络的的数数据据和和资源源;;④④记录通通过防防火火墙的的信信息息内内容容和和活活动;;⑤⑤对网网络攻攻击进行行监测和和报警。
警 防防火火墙的的体体系系结构构有有以以下下几几种种: : ①①双双重重宿宿主主主主机机体体系系结构构;;②②被被屏屏蔽蔽主主机体系机体系结构;构;③③被屏蔽子网体系被屏蔽子网体系结构 防防火火墙的的类型型有有多多种种分分类方方法法::技技术上上分分““包包过滤型型””和和““应用用代代理理型型””;;结构构上上分分单一一主主机机防防火火墙、、路路由由器器集集成成式式防防火火墙和和分分布布式式防防火火墙三三种种;;应用用部部署署位位置置分分为边界界防防火火墙、、个个人人防防火火墙和和混混合合式式防防火火墙;;性性能能上上分分为百百兆兆级防火防火墙和千兆和千兆级防火防火墙 防火墙的防火墙的发展趋势发展趋势::①①功能性能不断突破;功能性能不断突破;②②下一代网络的新需求;下一代网络的新需求;③③高速、安全、可用高速、安全、可用。