防火墙技术及应用

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第8章防火墙技术及应用,计算机网络安全技术,8.1防火墙技术概述,口8.1.1防火墙的概念,防火墙是指设置在不同网络(如可信,赖的企业内部局域网和不可信赖的公共网,络)之间或网络安全域之间的一系列部件,的组合,通过监测、限制、更改进入不同,网络或不同安全域的数据流,尽可能地对,外部屏蔽网络内部的信息、结构和运行状,况,以防止发生不可预测的、潜在破坏性,的入侵,实现网络的安全保护,口防火墙是实现网络和信息安全的基础,设施,一个高效可靠的防火墙应用具备以下,的基本特性,防火墙是不同网络之间,或网络的不,同安全域之间的唯一出入口,从里到外和从,外到里的所有信息都必须通过防火墙,口通过安全策略来控制不同网络或网络,不同安全域之间的通信,只有本地安全策略,授权的通信才允许通过;,防火墙本身是免疫的,即防火墙本身,具有较强的抗攻击能力,8.1.2防火墙的基本功能,口1.监控并限制访问,口2.控制协议和服务,口3.保护内部网络,口4.网络地址转换(NAT),口5.虚拟专用网(VPN),口6.日志记录与审计,8.1.3防火墙的基本原理,口所有的防火墙功能的实现都依赖于对,通过防火墙的数据包的相关信息进行检查,而且检查的项目越多、层次越深,则防火,墙越安全。由于现在计算机网络结构采用,自顶向下的分层模型,而分层的主要依据,是各层的功能划分,不同层次功能的实现,又是通过相关的协议来实现的。所以,防,火墙检查的重点是网络协议及采用相关协,议封装的数据,8.1.4防火墙的基本准贝,口1.所有未被允许的就是禁止的,口所有未被允许的就是棼止的,这一准则是指,根据用户的安仝管理策略,所有未被允许的通信,禁止通过防火墙。,口2.所有未被禁止的就是允许的,口所有未被禁止的就是允许的,这一准则是指,根据用户的安仝管理策略,防火墙转发所有信息,流,允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址等参数对未授权的用,户或不信任的站点进行逐项屏蔽。,8.2防火墙的应用,口82.1防火墙在网络中的位置,口防火墙多应用于一个局域网的出口处,(如图8-1(a)所示)或置于两个网络中间,(如图8-1(b)所示)。,同域网中,交换机,外部网络,(Intemet,(a)位于局域网出口处的防火墙,图8-1防火墙在网络中的位置,局域网,局域网,(b)置于两个局域网中间的防火墙,8.22使用了防火墙后的网络组成,防火墙是构建可信赖网络域的安全,产品。如图8-2所示,当一个网络在加入了,防火墙后,防火墙将成为不同安全域之间,的机化,DMZ一,FTP服务器web服务器邮件服务器,单位内部网络,可信赖域),外部网络,(非信赖域),的Q0,路由器防火墙,图8-2使用防火墙后的网络组成,口1.信赖域和非信赖域,口当局域网通过防火墙接入公共网络时,以防火墙为节点将网络分为内、外两部分,其中内部的局域网称为信赖域,而外部的,公共网络(如 IInternet)称为非信赖域,口2.信赖主机和非信赖主机,位于信赖域中的主机因为具有较高的安,全性,所以称为信赖主机;而位于非信赖,域中的主机因为安全性较低,所以称为非,信赖主机。,03. DMZ,口DMZ( Demilitarized zone)称为“隔离,或“非军事化区”,它是介于信赖域和非信赖,域之间的一个安全区域,