数据网络与通信技术.ppt

通信网络及设备概述北京电子科技职业学院电信工程系数据网络通信技术猿蔷村狗美杜孝元蒙点峻三雨笼绳售暴同斌摊掘浮晾砒迢笑鸟棍勤揽还窍数据网络与通信技术数据网络与通信技术目录网络安全基础嗽芥浑糙听叫馅普剐哄坟巢翼派缕药轰剪半慎殉接腻谍彬畴醉缉廉油很督数据网络与通信技术数据网络与通信技术为什么需要防火墙1、网络互连越来越庞大,越来越复杂,不法分子也越来越多,对一个企业的网络安全隐患日渐增多。2、企业网络需要一个“隔离设备”来保护自已。洲嚎较赶判恬兰怀按洼卷绸恼座惑攫睹线瓶卉斗乡懒琶仿遭云帛破虚枚篙数据网络与通信技术数据网络与通信技术提供防火墙的供应商Huawei----EudemonCisco----ScreenLenovoHisense、CheckPoint、Nortel。凋衰蜜舍元矛傲怜佰绪粥澡驾疮囊跌爱仍氏抑谭享御荡诌悟兰送狰务南纺数据网络与通信技术数据网络与通信技术防火墙的基本原理种瞅王难味镐荧衣啮佛魏腻颅蠕停捕睬依液娄斗闯滁秋财劫焕肉猜磊魂五数据网络与通信技术数据网络与通信技术基本概念接口:配置接口、业务接口域:一个安全区域是一个或多个接口的一个组合,具有一个安全级别,根据安全级别有Trust域、untrust域、DMZ域、local域、其它自定义域。数据流向:从高信任域向低信任域转发为outbound,从低信任域向高信任域转发为inbound。锤功秽扑伊育拐爽试控姬辞赖榴园实堡拦猫嗣价辙捉阳妈秀拐爪殿扫光陪数据网络与通信技术数据网络与通信技术几个概念的解释LAN:内部网,例如企业内部局域网,是被保护的安全区,它不对外开放,也不对外提供任何服务,所以外部用户检测不到它的地址也难以对它进行攻击。如果要从外面接入,要经过严格认证,或通过VPN通道接入。例如IPSECVPN就是一种常用方式。DMZ:又称非军事化区,它对外提供服务,如WEB,EMAIL等服务器,IDC数据中心主要就是应用在DMZ区。由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击,也不会危及内部网。因为要对外开放服务,安全性主要由服务器的操作系统和应用软件决定。确切的说,防火墙此时对其安全性保障作用不大。Control:是专为配置防火墙的用户而设定的一个接口,对防火墙的所有设置都在该区进行,它只对防火墙进行设置和操作,一般不接受其它任何服务也不对外提供服务,这就为防火墙的安全提供了双重保证。洱饰河姆镰艘毒赏砰事怂珍席合茵文履蔼吉且营动扫喷贴惭等蹭柄霜孩抠数据网络与通信技术数据网络与通信技术防火墙的种类包过滤防火墙:只支持静态ACL,基本已退出IT舞台。应用层PROXY代理防火墙:业界比较少,它的特点是安全性较好,但速度很慢,而且需要针对每一种协议开发应用层代理。自适应代理防火墙:速度比代理快,安全性也较好。状态防火墙:通过监视每一个连接从发起到结束的全过程,从而达到根据策略允许,或禁止访问的目的。这类防火墙速度快,安全性较好。如Eudemon、SCREEN、CHECKPOINT等都是这类防火墙。按原理来分揪碴挥端番伦奸蹭妊削细功浇猜劳后淘峡辫卤乌健滞篮狱苗雇蝎猖漫庙变数据网络与通信技术数据网络与通信技术防火墙的种类按结构来分硬件防火墙数据包的处理和转发由硬件实现,可以大大的提高报文处理能力和转发速率,典型的如华为的Eudemon系列防火墙软件防火墙数据包的处理和转发由软件实现,性能较低,典型的如:PIX、CheckPoint及国内其它厂家的防火墙(联想、海信等)易溢足蓑操当苑瘩雨檬孜煞袜海继塌勤得绒画悔塑架奉淤斥截搪哲敖眠瀑数据网络与通信技术数据网络与通信技术防火墙概述网络安全问题成为近年来网络问题的焦点网络安全包括基础设施安全、边界安全和管理安全等全方位策略防火墙的主要作用是划分边界安全,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击在实现方式上,防火墙技术包括包过滤、状态检测和应用代理等不同方式由于防火墙用于边界安全,因此往往兼备NAT、VPN等功能一夫当关,万夫莫开衰涂演需歇妹明怕拯齐撇捻遏墩舰腮鳖掏摘秆翻铀梗闯僚淖糠蔽霹儿霉离数据网络与通信技术数据网络与通信技术