防火墙(1).ppt

防火墙基础知识
1
本节主要内容
防火墙概述
防火墙的分类
防火墙的关键技术
防火墙的体系结构
防火墙接入方式和典型应用
2
一、防火墙概述
1、防火墙的提出
企业网络出于商业目的向公众开放
TCP/IP协议的自身弱点
攻击工具非常容易取得
安全教育严重不足
3
防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。
两个安全域之间通信流的唯一通道
UDP
Block
Host C
Host B
TCP
Pass
Host C
Host A
Destination
Protocol
Permit
Source
根据访问控制规则决定进出网络的行为
内部网
2、防火墙定义
4
3、防火墙工作原理及功能
(1)防火基本工作原理
防火墙基于源主机与目的主机的IP地址和端口的一些组合过滤掉某些危险的数据包。
(2)防火墙的功能
过滤进出网络的数据
管理进出网络的访问行为
封堵某些禁止的业务
记录进出网络的信息和活动
对网络攻击进行检测和告警
5
软件防火墙
硬件防火墙
按形态分类
按保护对象分类
二、防火墙的分类
保护整
个网络
保护单台主机
网络防火墙
单机防火墙
6
单机防火墙
网络防火墙
保护单台主机
安全策略分散
安全功能简单
普通用户维护
安全隐患较大
策略设置灵活
保护整个网络
安全策略集中
安全功能复杂多样
专业管理员维护
安全隐患小
策略设置复杂
单机防火墙&网络防火墙
结论:单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能。
7
硬件防火墙&软件防火墙
硬件防火墙
软件防火墙
需要准备额外的OS平台
安全性依赖低层的OS
网络适应性弱(主要以路由模式工作)
稳定性高
软件分发、升级比较方便
硬件+软件,不用准备额外的OS平台
安全性完全取决于专用的OS
网络适应性强(支持多种接入模式)
稳定性较高
升级、更新不太灵活
8
三、防火墙的关键技术
包过滤技术
代理服务器
状态监视器
9
1、包过滤技术
数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。
工作原理
通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。
10