防火墙五大基本功能
•过滤进、出网络的数据，是网络安全的屏障 •管理进、出网络的访问行为，防止内部信息的外泄 •封堵某些禁止的业务，对网络存取和访问进行控制 •记录通过防火墙的信息内容和活动 •对网络攻击的检测和告警，强化网络安全策略
防火墙的分类
• 按逻辑功能
• 包过滤式防火墙：天融信，联想 • 应用代理式防火墙：TIS • 状态检测防火墙
➢ 防火墙 ➢ 入侵检测与应急响应 ➢ 网络防病毒 ➢ 安全评估与漏洞扫描 ➢ 网络审计 ➢ CA系统
安全解决方案模型
安பைடு நூலகம்策略 安全组织管理
安全技术框架
鉴别认证
访问控制
内容安全
安全运作管理
体系与技术的对应关系
网络安全协议/功能模型
应用层 身份认证 用户授权与
访问控制
应用层安全通信 协议，如SSL
PDR安全实用性模型
安全的系统应当满足
P(t)防护时间>D(t)检测时间+ R(t)响应时间
• 防护的成本取决于风险导致的损失 • 风险的大小和时间高度正相关 • 防御体系的建立必须围绕实时性和应急机制来充
分提高其性能价格比
动态防御体系
新型安全体系
安全策略（业务和组织规范）
安全惯例（安全组织、物理安全、个人安全、操作安全等）
为什么要使用防火墙 ？
• 防火墙具有很好的保护作用。入侵者必须首 先穿越防火墙的安全防线，才能接触目标计算 机。可将防火墙配置成许多不同保护级别。高 级别的保护可以禁止一些服务，如视频流， Java，ActiveX，JavaScript脚本等
• 有时需要将内部网络划分为多个网段，为不 同的部门设置不同的访问级别
漏审洞计扫跟描踪 AT
IDS
恢网复络和架冗构余 安系全R&统分R析 冗余设计
内防容病安毒全 CS
加密/完整检查
主要内容
体系 技术 产品
➢ 防火墙 ➢ 入侵检测与应急响应 ➢ 网络防病毒 ➢ 安全评估与漏洞扫描 ➢ 网络审计 ➢ CA系统
防火墙功能
防火墙就是一个位于计算机和它所 连接的网络之间的硬件或软件。所有流 入流出的网络通信均要经过此防火墙。
数字签名 第三方公证
主机和服务 的审计记录
分析
应用系统的容错 容灾、服务管理
传输层
应用层代理或网关
电路层防火墙 (如SOCKs)
网络层 主机、路
由器等源 发认证
包过滤 防火墙
传输层安全 通信协议
主机或路由器间 IPSec等协议
数据链路层
与物理层
相邻节点 间的认证
认
访
问
控
证
制
点到点 加密机
点到点 加密机
体系和机制
安全服务
过程和方法
安
全 基 础
网 络 安
安 全 技
安 全
安 全 令
设 全 术 APIs 牌
施
认证 授权 连续性 完整性 抗抵赖 审计 可用性
业务
风 险
安全 连续 安全 监控 性 保障
评 估
事件 灾难 安全 管理 恢复 鉴定
计划
法律法规遵从性和环境调整（银行业、取证、电子传输等）
主要内容
体系 技术 产品
协议层次
安全管理
层
应 用层 传 输层
络
认
访数
问据
控
完 整
数 据 保
抗审可
抵
用
安 全
安
网
层 证 制 性 密 赖计性
路
服 务
全 管
链层 理
物
物理安全 计算机网络安全
安 全
理
计算机系统安全
管
应用系统安全
理
系统单元
动态防御体系
在防护检测响应 (PDR) 模 型基础上的动态防御体系, 因为 其优异的自适应、 自控制、 自 反馈特性, 已经在国际上得到了 广泛的接受和采纳.
数 据
数 据
抗
完
保
抵
整 性
密 性
赖
流量分析 入侵监测
网络结构设计， 路由系统安全， 基础服务安全，
网络管理
审
可
用
计
性
PDR主要技术
防护的主要技术 •访问控制:ACL,VLAN,防火墙 •加密机,VPN •认证,CA
检测的主要技术 •入侵检测系统 •漏洞扫描系统 •病毒防护
响应的主要技术 •报警、记录、阻断、联动、反击
静态与动态安全技术
• 静态防护： – 被动的，滞后的防御
• 动态防护： – 主动的、实时的防御
综合防御
安全解决方案
网络安全域隔离和划分 基础项目
技术类项目 资产鉴别和分类项目
统一时钟服务
管理类项目
制订最高安全方针
明确安全领导小组工作职责
防火墙和网络隔离
主机安全
防病毒
优先项目
入侵监测系统
周期性风险评估服务项目
网络系统安全基础
体系/技术/产品
主讲人：刘恒 2003年10月
主要内容
体系 技术 产品
➢ 防火墙 ➢ 入侵检测与应急响应 ➢ 网络防病毒 ➢ 安全评估与漏洞扫描 ➢ 网络审计 ➢ CA系统
主要内容
体系 技术 产品
➢ 防火墙 ➢ 入侵检测与应急响应 ➢ 网络防病毒 ➢ 安全评估与漏洞扫描 ➢ 网络审计 ➢ CA系统
长期项目
安全管理中心和网络安全平台
PKI体系可行性分析
BS7799认证项目
表示支持或支撑作用
体系到解决方案
IT安全框架
资产风险评估服务 威胁
防护措施
策略框架顾问服务组织框架
顾安问全服管务理 运作平框台架
技术框架
鉴别和认证 CA/RI&SAA
基于系统
访网A问C络功和架能控构制 安全A分C 析 防火墙
• 按体系结构
• 硬件防火墙：Netscreen,Nokia,Cisco Pix • 软件防火墙：Checkpoint, ISA Server • 软硬结合
• 按操作模式
• 网桥模式 • 路由模式 • NAT
• 按性能
• 百兆 • 千兆
• 按部署方式
• 边界(企业)防火墙 • 个人（主机）防火墙
防火墙中的主要技术
紧急响应体系
落实项目的安全审核工作 策略体系开发和建立
业务连续性管理 安全组织建设
策略的有效发布和执行
安全培训与资质认证
落实安全责任文件
可信信道
冗余、备份和恢复
非优先项目
数据源鉴别
网络设备安全
日志监控系统 动态口令系统
聘请专业公司或者专家作为顾问 制订全员网络安全教育计划
第三方安全管理
策略的定期审查和修订
• 封包过滤（Packet Fileter） • 状态检测（Stateful inspection） • 网络地址转换NAT（Network Address Transform） • 代理技术（Proxy）
什么是安全？
Security is the reduction of risk
安全就是降低风险，并使之达到 “可接受”的程度
信息安全体系的构成
应用 数据安全 应用平台的安全性 操作系统平台的安全性
安全管理 安全评估
网络安全 网络基础结构
物理安全
安全策略
整体安全 技术因素全面
服务保证
传统网络安全防御体系