当前位置:文档之家› 《防火墙技术》PPT课件

《防火墙技术》PPT课件

① 只能防范经过其本身的非法访问和攻击,对绕过防火
墙的访问和攻击无能为力;
② 不能解决来自内部网络的攻击和安全问题;
③ 不能防止受病毒感染的文件的传输;
④ 不能防止策略配置不当或错误配置引起的安全威胁;
⑤ 不能防止自然或人为的故意破坏;不能防止本身安全
漏洞的威胁。
h
7
2 防火墙技术分类
2.1 数据包过滤(Packet Filtering) 2.2 代理服务(Proxy Service) 2.3 状态检测(Stateful Inspection) 2.4 网络地址转换(Network Address
h
18
2.4 网络地址转换
网络地址转换/翻译(NAT,Network Address Translation)就是将一个IP地址用另一个IP地址代替。
NAT的主要作用: ① 隐藏内部网络的IP地址; ② 解决地址紧缺问题。
注意:NAT本身并不是一种有安全保证的方案,它仅 仅在包的最外层改变IP地址。所以通常要把NAT集成 在防火墙系统中。
代理速度比路由器慢 代理对用户不透明 对于每项服务,代理可能要求不同的服务器 代理服务通常要求对客户或过程进行限制 代理服务受协议弱点的限制 代理不能改进底层协议的安全性
h
16
2.3 状态检测
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层
可信网络
防火墙
Intranet
DMZ
路由器
不可信网络 和服务器
不可信用户
Internet
可信用户
h
4
1.1 相关概念
防火墙安全策略 一个防火墙应该使用以下两种基本策略中的一种:
除非明确允许,否则就禁止 除非明确禁止,否则就允许
h
5
1.2 防火墙的作用
① 网络安全的屏障; ② 过滤不安全的服务;(两层含义)
数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
检测
引擎
h
动态状态表
17
2.3 状态检测
状态检测防火墙是在动态包过滤的基础上,增加了状态检测机 制而形成的;
动态包过滤与普通包过滤相比,需要多做一项工作:对外出数 据包的“身份”做一个标记,允许相同连接的进入数据包通过。
h
19
2.5 防火墙技术的发展趋势智能防火墙源自 分布式防火墙 网络安全产品的系统化
h
20
3 防火墙体系结构
3.1 双重宿主主机结构 3.2 屏蔽主机结构 3.3 屏蔽子网结构 3.4 防火墙的组合结构
代理服务器运行在两个网络之间,它对于客户机来说像 是一台真的服务器,而对于外网的服务器来说,它又是 一台客户机。
代理服务器的基本工作过程是:当客户机需要使用外网 服务器上的数据时,首先将请求发给代理服务器,代理 服务器再根据这一请求向服务器索取数据,然后再由代 理服务器将数据传输给客户机。
h
14
防火墙技术
h
1
要点
1、防火墙概述 2、防火墙技术分类 3、防火墙体系结构 4、防火墙产品
h
2
1 防火墙概述
1.1 相关概念 1.2 防火墙的作用 1.3 防火墙的局限性
h
3
1.1 相关概念
防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道 防御系统,它能挡住来自外部网络的攻击和入侵,保障着内部 网络的安全。
利用状态表跟踪每一个网络会话的状态,对每一个数据包的检 查不仅根据规则表,更考虑了数据包是否符合会话所处的状态;
状态检测防火墙采用了一个在网关上执行网络安全策略的软件 引擎,称之为检测模块。检测模块在不影响网络正常工作的前提 下,采用抽取相关数据的方法对网络通信的各层实施监测,并动 态地保存起来作为以后制定安全决策的参考。
内部提供的不安全服务和内部访问外部的不安全服务 ③ 阻断特定的网络攻击;(联动技术的产生) ④ 部署NAT机制; ⑤ 提供了监视局域网安全和预警的方便端点。
提供包括安全和统计数据在内的审计数据,好的防火墙 还能灵活设置各种报警方式。
h
6
1.3 防火墙的局限性
网络的安全性通常是以网络服务的开放性和灵活性为 代价的,防火墙的使用也会削弱网络的功能和性能。 并且防火墙只是整个网络安全防护体系的一部分,而 且防火墙并非万无一失:
h
10
2.1数据包过滤
包过滤防火墙具有明显的优点:
一个屏蔽路由器能保护整个网络 包过滤对用户透明 屏蔽路由器速度快、效率高
h
11
2.1数据包过滤
包过滤防火墙的缺点:
它没有用户的使用记录,这样就不能从访问记录中 发现黑客的攻击记录
没有一定的经验,是不可能将过滤规则配置得完美 不能在用户级别上进行过滤,只能认为内部用户是
可信任的、外部用户是可疑的
h
12
2.2 代理服务
Telnet
FTP HTTP
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
h
13
2.2 代理服务
所谓代理服务器,是指代表内网用户向外网服务器进行 连接请求的服务程序。
Translation ) 2.5 防火墙技术的发展趋势
h
8
2.1 数据包过滤
包过滤(Packet Filtering)技术在网络层和传输层 对数据包实施有选择的通过,依据系统事先设定好的 过滤规则,检查数据流中的每个包,根据包头信息来 确定是否允许数据包通过,拒绝发送可疑的包。
应用层
应用层
表示层
表示层
会话层
会话层
传输层
传输层
网络层
网络层
数据链路层
数据链路层
数据链路层
物理层
物理层 h
物理层
9
2.1数据包过滤
包过滤一般检查如下内容: 过滤规则的序列号、确认号、IP校检和等; 协议类型(TCP包、UDP包、ICMP包等); 源IP地址; TCP/UDP源端口; 目的IP地址; TCP/UDP目的端口; ICMP消息类型; TCP包头中的ACK位。。
2.2 代理服务
代理的优点
① 内部网络拓扑结构等重要信息不易外泄,从而减少了 黑客攻击时所必需的必要信息;
② 可以实施用户认证、详细日志、审计跟踪和数据加密 等功能和对具体协议及应用的过滤,同时当发现被攻 击迹象时会向网络管理员发出警报,并保留攻击痕迹, 安全性较高。
h
15
2.2 代理服务
代理的缺点:
相关主题