ch4 防火墙技术.ppt

第4章防火墙技术
内容提要:
防火墙概述
防火墙的体系结构
数据包过滤防火墙
代理防火墙
防火墙应用举例
防火墙脆弱性及其防护对策
防火墙技术发展动态和趋势
概述
防火墙的定义
防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,构成一道屏障,以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰。
防火墙的要点:
防火墙配置在不同网络或网络安全域之间,它遵循的是一种允许或阻止业务来往的网络通信安全机制,只允许授权的通信,尽可能地对外部屏蔽网络内部的信息、结构和运行状况
防火墙的发展简史
第一代防火墙——采用了包过滤(Packet filter)技术。
第二代防火墙——电路层防火墙
第三代防火墙——应用层防火墙(代理防火墙)的初步结构
第四代防火墙——1992年,基于动态包过滤(Dynamic packet filter)技术
第五代防火墙——自适应代理(Adaptive proxy)技术
防火墙的五大基本功能
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止的业务;
记录通过防火墙的信息内容和活动;
对网络攻击的检测和告警。
防火墙体系结构
防火墙可以在OSI七层中的五层设置。
                                                                             
                
防火墙组成结构图
防火墙的体系结构
目前,防火墙的体系结构一般有以下几种:
(1)双重宿主主机体系结构;
(2)屏蔽主机体系结构;
(3)屏蔽子网体系结构。
双重宿主主机体系结构
围绕具有双重宿主的主机计算机而构筑;
计算机至少有两个网络接口;
计算机充当与这些接口相连的网络之间的路由器;
防火墙内部的系统能与双重宿主主机通信;
防火墙外部的系统(在因特网上)能与双重宿主主机通信。
双重宿主主机体系结构
屏蔽主机体系结构
提供安全保护的堡垒主机仅仅与被保护的内部网络相连;
是外部网络上的主机连接内部网络的桥梁;
堡垒主机需要拥有高等级的安全;
还使用一个单独的过滤路由器来提供主要安全;
路由器中有数据包过滤策略。