第八章防火墙技术及应用-1.ppt

第8章防火墙(Firewall)技术及应用移动企业网分公司各式各样的操作系统统一的安全策略防火墙技术概述防火墙的概念防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合,通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。防火墙=硬件+软件+控制策略防火墙是实现网络和信息安全的基础设施,一个高效可靠的防火墙应用具备以下的基本特性:防火墙是不同网络之间,或网络的不同安全域之间的唯一出入口,从里到外(inbound)和从外到里(outbound)的所有信息都必须通过防火墙;通过安全策略来控制不同网络或网络不同安全域之间的通信,只有本地安全策略授权的通信才允许通过;防火墙本身是免疫的,即防火墙本身具有较强的抗攻击能力。外部(不可信)内部(受保护)网络不能随便进来,当然也不能随便出去防火墙的基本功能监控并限制访问控制协议和服务保护内部网络网络地址转换(NAT)虚拟专用网(VPN)日志记录与审计防火墙的基本原理所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查,而且检查的项目越多、层次越深,则防火墙越安全。由于现在计算机网络结构采用自顶向下的分层模型,而分层的主要依据是各层的功能划分,不同层次功能的实现又是通过相关的协议来实现的。所以,防火墙检查的重点是网络协议及采用相关协议封装的数据。防火墙提供的机制-服务控制(servicecontrol)服务类型(双向的)。防火墙可以基于IP地址、协议和TCP端口号对流量进行过滤;或者提供***,对收到的每个服务请求进行解释,然后才允许通过防火墙用来控制访问和执行站点安全策略的四种通用技术。防火墙提供的机制-方向控制(directioncontrol)确定特点服务请求发起和允许通过防火墙的方向。防火墙提供的机制-用户控制(usercontrol)根据试图访问服务器的用户来控制服务器的访问权限。通常这个功能应用于在防火墙周界以内的用户(即本地用户)。也可以用于来自外部用户的流量。防火墙提供的机制-行为控制(behaviorcontrol)控制特点服务的使用方法。过滤垃圾邮件;控制外部用户只能对本地Web服务器上的部分信息进行访问。防火墙的基本准则默认丢弃-所有未被允许的就是禁止的所有未被允许的就是禁止的,这一准则是指根据用户的安全管理策略,所有未被允许的通信禁止通过防火墙。默认转发-所有未被禁止的就是允许的所有未被禁止的就是允许的,这一准则是指根据用户的安全管理策略,防火墙转发所有信息流,允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址等参数对未授权的用户或不信任的站点进行逐项屏蔽。先否定一切先肯定一切