Eudemon系列防火墙基础知识PPT课件.ppt

Eudemon 系列防火墙用服培训
基础知识部分
引入
的日益普及,开放式的网络带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个LAN之间),这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。
在大厦的构造中,防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的:“的危险传播到你的内部网络”。
什么叫防火墙?
防火墙(Fire Wall):简单的说,网络安全的第一道防线,是位于两个信任程度不同的网络之间(之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
防火墙= 硬件+ 软件+ 控制策略
宽松控制策略:除非明确禁止,否则允许。
限制控制策略:除非明确允许,否则禁止。
防火墙的特性:
内部和外部之间的所有网络数据流必须经过防火墙
只有被安全政策允许的数据包才能通过防火墙
防火墙本身要具有很强的抗攻击、渗透能力
防火墙的简单定义
简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:
经过防火墙保护的网络之间的通信必须都经过防火墙。
只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。
防火墙本身必须具有很强的抗攻击、渗透能力。
防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。
连接不受信网络区域
连接受信网络区域
在连接受信网络区域和非受信网络区域之间的区域,一般称为DMZ。
防火墙在安全体系中的位置
门
防火墙
监视器
入侵检测系统
保安员
扫描器、漏洞查找
安全传输
加密、VPN
门禁系统
身份认证、访问控制
监控室
安全管理中心
加固的房间
系统加固、免疫
防火墙的功能
防火墙能提供的功能
监控和审计网络的存取和访问:过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警。
部署于网络边界,兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能
防病毒、入侵检测、认证、加密、远程管理、代理……
深度检测对某些协议进行相关控制
攻击防范,扫描检测等
应用程序代理
包过滤&状态检测
用户认证
NAT
VPN
日志
IDS与报警
内容过滤
防火墙的基本功能模块
防火墙的关键技术
防火墙的关键技术
包过滤技术
代理技术
状态检测技术
网络地址翻译 NAT
虚拟专用网 VPN
应用协议特定的包过滤技术ASPF
双机热备技术
QOS技术
应用层流控技术包括P2P限流
防攻击技术,DPI技术
包过滤防火墙(Packet Filtering)
包过滤防火墙(Packet Filtering)
此类防火墙布放在网络中的适当位置,利用数据包的五元组的部分或者全部的信息,按照定义的规则ACL对通过的数据包进行过滤。这是一种基于网络层的安全技术,对于应用层的黑客行为无能为力。
包过滤防火墙简单,但是缺乏灵活性;包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降;
包过滤防火墙对于任何应用需要配置双方向的ACL规则,不能提供差异性保护
协议号
源地址
目的地址
源端口
目的端口
IP 报头
TCP/UDP 报头
数据
访问控制列表由这5个元素来组成定义的规则