2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 1
第八章 防火墙技术本章内容:
第一节 防火墙简介第二节 防火墙的类型第三节 防火墙配置第四节 防火墙系统第五节 防火墙的选购和使用第六节 防火墙产品介绍
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 2
知识点
防火墙的概念,功能特点和安全性
防火墙的分类
防火墙配置及防火墙系统
防火墙的选购,安装和维护
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 3
难 点
防火墙系统
防火墙的选购,安装和维护
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 4
要求熟练掌握以下内容,
防火墙的概念、功能特点和安全性
防火墙的分类、防火墙的配置
防火墙的选购、安装和维护了解以下内容,
防火墙系统
常用防火墙产品
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 5
第一节 防火墙简介
防火墙的概念
防火墙的功能特点
防火墙的安全性
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 6
8.1.1 防火墙的概念防火墙是具有以下特征的计算机硬件或软件:
( 1) 由内到外和由外到内的所有访问都必须通过它; ( 2) 只有本地安全策略所定义的合法访问才被允许通过它; ( 3) 防火墙本身无法被穿透 。
通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内,外部网络的目的,价格较贵,但效果较好,一般小型企业和个人很难实现;软件防火墙是通过软件的方式来达到,价格很便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 7
8.1.2 防火墙的功能特点
1,保护那些易受攻击的服务
2,控制对特殊站点的访问
3,集中化的安全管理
4,对网络访问进行记录和统计
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 8
8.1.3 防火墙的安全性设计
1,用户认证对于防火墙来说,认证主要是对防火墙用户的认证和防火墙管理员对认证的认证 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 9
2,域名服务防火墙可以对内部网内外用户提供修改名录的服务功能 。 防火墙不能将内部网内主机的 IP
地址泄露出去 。 因此,对于来自 Internet主机的请求,防火墙应当分辨内部网内所有到防火墙 IP地址的主机名字;而对于来自内部网内主机的请求,防火墙提供寻址名字,以分辨
Internet上的主机 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 10
3,邮件处理电子邮件是内部网络到 Internet连通的一个主要业务,是 Internet上用户之间交换信息时广泛采用的手段,一般采用 SMTP( 简单邮件传送协议 ――Simple Mail Transfer Protocol) 。
这些邮件都要通过防火墙验证通行,在内部网上设置一个邮件网关,通过它与防火墙连通,
再与 Internet上用户连通 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 11
4,IP层的安全性
IP层的安全包括两个功能:认证和保密 。 认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发送的 。 此外,认证机构还要保证该数据组在传送中未被篡改 。 保密性保证通信节点对所传消息进行加密,防止第三者窃听 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 12
5,防火墙的 IP安全性防火墙可以提供保密性和完整性 。 一个协作网可能由两个或更多内部网通过
Internet相互连接而成 。 这些网之间的数据保密性和完整性可以通过 IP的安全机制实现 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 13
第二节 防火墙的类型
包过滤防火墙
代理服务器防火墙
状态监视器防火墙
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 14
8.2.1 包过滤防火墙
1,包过滤防火墙的工作原理采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址,目的地址,所有的
TCP端口号和 TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 15
2,包过滤防火墙的优缺点包过滤防火墙最大的优点是:价格较低,对用户透明,对网络性能的影响很小,速度快,易于维护 。
但它也有一些缺点:包过滤配置起来比较复杂,它对 IP欺骗式攻击比较敏感,它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录 。 而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的,他们在这一方面已经积累了大量的经验 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 16
8.2.2代理服务器防火墙
1,代理服务器防火墙的工作原理代理服务器运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机 。 当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样,去那个站点取回所需信息再转发给客户 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 17
2,代理服务器防火墙的优缺点代理服务器防火墙的优点:可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;可用于实施较强的数据流监控,过滤,记录和报告等 。
代理服务器防火墙的缺点:使访问速度变慢,因为它不允许用户直接访问网络;应用级网关需要针对每一个特定的 Internet服务安装相应的代理服务器软件,用户不能使用未被服务器支持的服务,这就意味着用户可能会花费一定的时间等待新服务器软件的安装;并不是所有的
Internet应用软件都可以使用代理服务器 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 18
8.2.3状态监视器防火墙
1,状态监视器防火墙的工作原理这种防火墙安全特性非常好,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块 。 检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后指定安全决策的参考 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 19
2,状态监视器防火墙的优缺点状态监视器的优点:
( 1) 检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充 。
( 2) 它会监测 RPC和 UDP之类的端口信息,而包过滤和代理网关都不支持此类端口 。
( 3) 性能坚固状态监视器的缺点:
( 1) 配置非常复杂 。
( 2) 会降低网络的速度 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 20
第三节 防火墙配置
服务器置于防火墙之内
服务器置于防火墙之外
服务器置于防火墙之上
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 21
内部网
Web
服务器 防火墙
Internet
8.3.1 服务器置于防火墙之内如图所示,将 Web服务器装在防火墙内的好处是它得到了安全保护,不容易被黑客闯入。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 22
内部网
Web
服务器防火墙
Internet
如图所示,为保证内部网络的安全,将 Web服务器完全置于防火墙之外是比较合适的。在这种模式中,Web服务器不受保护,但内部网则处于保护之下。
8.3.2 服务器置于防火墙之外
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 23
8.3.3 服务器置于防火墙之上内部网
Web
防火墙和服务器
Internet
如图所示,有些管理者试图在防火墙机器上运行 Web服务器,以此增强
Web站点的安全性。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 24
第四节 防火墙系统
屏蔽主机 ( Screened Host) 防火墙
屏蔽子网 ( Screened Subnet) 防火墙
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 25
8.4.1 屏蔽主机( Screened
Host)防火墙屏蔽主机防火墙由包过滤路由器和堡垒主机( Bastion Host)组成,它所提供的安全性能要比包过滤防火墙系统要强,因为它实现了网络层安全(包过滤)
和应用层安全(代理服务)的结合。当入侵者在破坏内部网络的安全性之前,
必须首先突破这两种不同的安全系统。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 26
屏蔽主机防火墙的原理和实现过程,
堡垒主机位于内部网络上,而包过滤路由器则放置在内部网络和外部网络之间。在路由器上设置相应的规则,使得外部系统只能访问堡垒主机。由于内部主机与堡垒主机处于同一个网络,内部系统是否允许直接访问外部网络,
或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。对路由器的过滤规则进行配置,使得其只接收来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务,从而加强内部用户对外部
Internet访问的管理。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 27
8.4.2屏蔽子网( Screened
Subnet)防火墙屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开,堡垒主机、信息服务器,Modem组,以及其他公用服务器放在该子网中,这个子网称为“停火区”或“非军事区”
( DeMilitarised Zone,DMZ)
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 28
防火墙的选购策略
防火墙的安装
防火墙的维护第五节 防火墙的选购和使用
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 29
8.5.1防火墙的选购策略
1,购买防火墙之前,首先要知道防火墙的最基本性能
2,选购防火墙前,还应认真制定安全政策,
也就是要制定一个周密计划 。
3,在满足实用性,安全性的基础上,还要考虑经济性
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 30
8.5.2防火墙的安装安装防火墙最简单的方法是使用可编程路由器作为包过滤,此法是目前用得最普通的网络互连安全结构 。 路由器根据源 /目的地址或包头部的信息,有选择地使数据包通过或阻塞 。
安装防火墙的第二种方法是,把防火墙安装在一台双端口的主机系统中,连接内部网络 。
而不管是内部网络还是外部网络均可访问这台主机,但内部网上的主机不能直接进行通信 。
第三种方法是把防火墙安装在一个公共子网中,其作用相当于一台双端口的主机 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 31
第四种方法是采用应用与线路入口及信息包过滤来安装防火墙 。 所谓应用与线路入口,就是把所有的包都按地址送给入口上的用户级应用程序,入口在两点间传送这些包 。 对于多数应用入口,需要一个附加的包过滤机制来控制,
筛选入口与网络之间的信息流 。 典型的配置包括两个路由器,其中之一作设防主站,起两者间的应用入口的作用 。 而应用入口对用户,对应用程序,对运行的入口主站均不透明 。 对用户而言,必须对他们使用的每一个应用程序安装一个特定的客户机应用程序,而带有入口的每一个应用程序均是一段独立的专用软件,需要一组自己的管理工具和许可才行 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 32
8.5.3 防火墙的维护对网络管理维护人员的要求:
第一,必须经过一定水平的业务培训,对自己的计算机网络系统,包括防火墙在内的结构配置要清楚;
第二,实施定期的扫描和检查,发现系统结构出了问题时能及时排除和恢复;
第三,保证系统监控及防火墙之间的通信线路能够畅通无阻,以便对安全问题进行报警,恢复,处理其他的安装信息等;
第四,保证整个系统处于优质服务状态,必须全天候的对主机系统进行监控,管理和维护,达到万无一失 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 33
第六节 防火墙产品介绍
Check Point Firewall-1
AXENT Raptor
CyberGuard Firewall
Cisco PIX Firewall 520
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 34
8.6.1 Check Point Firewall-1
Check Point 公司推出的 Firewall-1共支持两个平台:一个是 Unix平台;另一个是 Windows NT
平台 。 Firewall-1具有一种很特别的结构,称为多层次状态监视结构 。 这种结构让 Firewall-
1可以对复杂的网络应用软件进行快速支持 。
也因为这个功能,使得 Check Point 在防火墙产品的厂商中位居领导地位 。 有很多第三方厂商对它进行支持 。 而 Check Point 也提供了一套 APL供开发者使用,以便开发更多的辅助工具 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 35
8.6.2 AXENT Raptor
Raptor是代理型防火墙中最好的。它的界面易读、
易操作,在实时日志方面,仅次于 Firewall-1。
Raptor的优势在于其代理的深度和广度。只有它提供对 Microsoft NT服务器的保护。它还具有 SQL * NET代理功能,可控制对 Oracle数据库的访问。 Raptor在 SMTP方面做得很好,而且它是唯一可防止缓存溢出的防火墙,它可以代理 NNTP(网络新闻传输协议)和 NTP(网络时间协议)。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 36
8.6.3 CyberGuard Firewall
CyberGuard Firewall是由 CyberGuard 公司制作的,其主要结构是基于 CX/SX多层式安全操作系统,它的操作相当容易上手 。 CyberGuard
Firewall跟其他防火墙产品不同的地方在于,
它提供一种可以安装在防火墙上的界面卡 。 通过界面卡,可以进行硬件加密 。 这对于整体效果有显著的提高 。 另外,它还有网络地址转译,
支持 Sock,分割式的 DNS等特点 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 37
8.6.4 Cisco PIX Firewall 520
Cisco公司推出的 PIX Firewall 520的处理性能是最好的,其吞吐可达 150Mbit/s,而且使用
NAT时不影响其性能 。 它可以防止有害的
SMTP命令,但对 FTP,它不能对 get和 put进行限制 。 PIX的管理需要有一台 NT服务器专门运行该软件,通过 Web来访问,但使用 Web界面管理 PIX只能进行简单的配置改变 。 它的日志和监控能力较弱,所有日志必须送到另一台运行 syslog的机器上 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 38
小结:
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止不可预测的,潜在破坏性的侵入 。 防火墙作为网络安全体系的基础和核心控制设备,在网络安全中具有举足轻重的地位 。 如何选购一个安全,稳定,可靠的防火墙产品是非常重要的 。
本章主要介绍了防火墙基本知识,包括防火墙的概念、功能特点、安全性、类型、防火墙的选购、安装和维护,并介绍了几种防火墙产品。
12时 5分 30秒 防火墙技术 1
第八章 防火墙技术本章内容:
第一节 防火墙简介第二节 防火墙的类型第三节 防火墙配置第四节 防火墙系统第五节 防火墙的选购和使用第六节 防火墙产品介绍
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 2
知识点
防火墙的概念,功能特点和安全性
防火墙的分类
防火墙配置及防火墙系统
防火墙的选购,安装和维护
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 3
难 点
防火墙系统
防火墙的选购,安装和维护
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 4
要求熟练掌握以下内容,
防火墙的概念、功能特点和安全性
防火墙的分类、防火墙的配置
防火墙的选购、安装和维护了解以下内容,
防火墙系统
常用防火墙产品
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 5
第一节 防火墙简介
防火墙的概念
防火墙的功能特点
防火墙的安全性
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 6
8.1.1 防火墙的概念防火墙是具有以下特征的计算机硬件或软件:
( 1) 由内到外和由外到内的所有访问都必须通过它; ( 2) 只有本地安全策略所定义的合法访问才被允许通过它; ( 3) 防火墙本身无法被穿透 。
通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内,外部网络的目的,价格较贵,但效果较好,一般小型企业和个人很难实现;软件防火墙是通过软件的方式来达到,价格很便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 7
8.1.2 防火墙的功能特点
1,保护那些易受攻击的服务
2,控制对特殊站点的访问
3,集中化的安全管理
4,对网络访问进行记录和统计
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 8
8.1.3 防火墙的安全性设计
1,用户认证对于防火墙来说,认证主要是对防火墙用户的认证和防火墙管理员对认证的认证 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 9
2,域名服务防火墙可以对内部网内外用户提供修改名录的服务功能 。 防火墙不能将内部网内主机的 IP
地址泄露出去 。 因此,对于来自 Internet主机的请求,防火墙应当分辨内部网内所有到防火墙 IP地址的主机名字;而对于来自内部网内主机的请求,防火墙提供寻址名字,以分辨
Internet上的主机 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 10
3,邮件处理电子邮件是内部网络到 Internet连通的一个主要业务,是 Internet上用户之间交换信息时广泛采用的手段,一般采用 SMTP( 简单邮件传送协议 ――Simple Mail Transfer Protocol) 。
这些邮件都要通过防火墙验证通行,在内部网上设置一个邮件网关,通过它与防火墙连通,
再与 Internet上用户连通 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 11
4,IP层的安全性
IP层的安全包括两个功能:认证和保密 。 认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发送的 。 此外,认证机构还要保证该数据组在传送中未被篡改 。 保密性保证通信节点对所传消息进行加密,防止第三者窃听 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 12
5,防火墙的 IP安全性防火墙可以提供保密性和完整性 。 一个协作网可能由两个或更多内部网通过
Internet相互连接而成 。 这些网之间的数据保密性和完整性可以通过 IP的安全机制实现 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 13
第二节 防火墙的类型
包过滤防火墙
代理服务器防火墙
状态监视器防火墙
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 14
8.2.1 包过滤防火墙
1,包过滤防火墙的工作原理采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址,目的地址,所有的
TCP端口号和 TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 15
2,包过滤防火墙的优缺点包过滤防火墙最大的优点是:价格较低,对用户透明,对网络性能的影响很小,速度快,易于维护 。
但它也有一些缺点:包过滤配置起来比较复杂,它对 IP欺骗式攻击比较敏感,它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录 。 而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的,他们在这一方面已经积累了大量的经验 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 16
8.2.2代理服务器防火墙
1,代理服务器防火墙的工作原理代理服务器运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机 。 当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样,去那个站点取回所需信息再转发给客户 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 17
2,代理服务器防火墙的优缺点代理服务器防火墙的优点:可以将被保护的网络内部结构屏蔽起来,增强网络的安全性;可用于实施较强的数据流监控,过滤,记录和报告等 。
代理服务器防火墙的缺点:使访问速度变慢,因为它不允许用户直接访问网络;应用级网关需要针对每一个特定的 Internet服务安装相应的代理服务器软件,用户不能使用未被服务器支持的服务,这就意味着用户可能会花费一定的时间等待新服务器软件的安装;并不是所有的
Internet应用软件都可以使用代理服务器 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 18
8.2.3状态监视器防火墙
1,状态监视器防火墙的工作原理这种防火墙安全特性非常好,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块 。 检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后指定安全决策的参考 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 19
2,状态监视器防火墙的优缺点状态监视器的优点:
( 1) 检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充 。
( 2) 它会监测 RPC和 UDP之类的端口信息,而包过滤和代理网关都不支持此类端口 。
( 3) 性能坚固状态监视器的缺点:
( 1) 配置非常复杂 。
( 2) 会降低网络的速度 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 20
第三节 防火墙配置
服务器置于防火墙之内
服务器置于防火墙之外
服务器置于防火墙之上
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 21
内部网
Web
服务器 防火墙
Internet
8.3.1 服务器置于防火墙之内如图所示,将 Web服务器装在防火墙内的好处是它得到了安全保护,不容易被黑客闯入。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 22
内部网
Web
服务器防火墙
Internet
如图所示,为保证内部网络的安全,将 Web服务器完全置于防火墙之外是比较合适的。在这种模式中,Web服务器不受保护,但内部网则处于保护之下。
8.3.2 服务器置于防火墙之外
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 23
8.3.3 服务器置于防火墙之上内部网
Web
防火墙和服务器
Internet
如图所示,有些管理者试图在防火墙机器上运行 Web服务器,以此增强
Web站点的安全性。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 24
第四节 防火墙系统
屏蔽主机 ( Screened Host) 防火墙
屏蔽子网 ( Screened Subnet) 防火墙
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 25
8.4.1 屏蔽主机( Screened
Host)防火墙屏蔽主机防火墙由包过滤路由器和堡垒主机( Bastion Host)组成,它所提供的安全性能要比包过滤防火墙系统要强,因为它实现了网络层安全(包过滤)
和应用层安全(代理服务)的结合。当入侵者在破坏内部网络的安全性之前,
必须首先突破这两种不同的安全系统。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 26
屏蔽主机防火墙的原理和实现过程,
堡垒主机位于内部网络上,而包过滤路由器则放置在内部网络和外部网络之间。在路由器上设置相应的规则,使得外部系统只能访问堡垒主机。由于内部主机与堡垒主机处于同一个网络,内部系统是否允许直接访问外部网络,
或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。对路由器的过滤规则进行配置,使得其只接收来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务,从而加强内部用户对外部
Internet访问的管理。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 27
8.4.2屏蔽子网( Screened
Subnet)防火墙屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开,堡垒主机、信息服务器,Modem组,以及其他公用服务器放在该子网中,这个子网称为“停火区”或“非军事区”
( DeMilitarised Zone,DMZ)
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 28
防火墙的选购策略
防火墙的安装
防火墙的维护第五节 防火墙的选购和使用
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 29
8.5.1防火墙的选购策略
1,购买防火墙之前,首先要知道防火墙的最基本性能
2,选购防火墙前,还应认真制定安全政策,
也就是要制定一个周密计划 。
3,在满足实用性,安全性的基础上,还要考虑经济性
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 30
8.5.2防火墙的安装安装防火墙最简单的方法是使用可编程路由器作为包过滤,此法是目前用得最普通的网络互连安全结构 。 路由器根据源 /目的地址或包头部的信息,有选择地使数据包通过或阻塞 。
安装防火墙的第二种方法是,把防火墙安装在一台双端口的主机系统中,连接内部网络 。
而不管是内部网络还是外部网络均可访问这台主机,但内部网上的主机不能直接进行通信 。
第三种方法是把防火墙安装在一个公共子网中,其作用相当于一台双端口的主机 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 31
第四种方法是采用应用与线路入口及信息包过滤来安装防火墙 。 所谓应用与线路入口,就是把所有的包都按地址送给入口上的用户级应用程序,入口在两点间传送这些包 。 对于多数应用入口,需要一个附加的包过滤机制来控制,
筛选入口与网络之间的信息流 。 典型的配置包括两个路由器,其中之一作设防主站,起两者间的应用入口的作用 。 而应用入口对用户,对应用程序,对运行的入口主站均不透明 。 对用户而言,必须对他们使用的每一个应用程序安装一个特定的客户机应用程序,而带有入口的每一个应用程序均是一段独立的专用软件,需要一组自己的管理工具和许可才行 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 32
8.5.3 防火墙的维护对网络管理维护人员的要求:
第一,必须经过一定水平的业务培训,对自己的计算机网络系统,包括防火墙在内的结构配置要清楚;
第二,实施定期的扫描和检查,发现系统结构出了问题时能及时排除和恢复;
第三,保证系统监控及防火墙之间的通信线路能够畅通无阻,以便对安全问题进行报警,恢复,处理其他的安装信息等;
第四,保证整个系统处于优质服务状态,必须全天候的对主机系统进行监控,管理和维护,达到万无一失 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 33
第六节 防火墙产品介绍
Check Point Firewall-1
AXENT Raptor
CyberGuard Firewall
Cisco PIX Firewall 520
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 34
8.6.1 Check Point Firewall-1
Check Point 公司推出的 Firewall-1共支持两个平台:一个是 Unix平台;另一个是 Windows NT
平台 。 Firewall-1具有一种很特别的结构,称为多层次状态监视结构 。 这种结构让 Firewall-
1可以对复杂的网络应用软件进行快速支持 。
也因为这个功能,使得 Check Point 在防火墙产品的厂商中位居领导地位 。 有很多第三方厂商对它进行支持 。 而 Check Point 也提供了一套 APL供开发者使用,以便开发更多的辅助工具 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 35
8.6.2 AXENT Raptor
Raptor是代理型防火墙中最好的。它的界面易读、
易操作,在实时日志方面,仅次于 Firewall-1。
Raptor的优势在于其代理的深度和广度。只有它提供对 Microsoft NT服务器的保护。它还具有 SQL * NET代理功能,可控制对 Oracle数据库的访问。 Raptor在 SMTP方面做得很好,而且它是唯一可防止缓存溢出的防火墙,它可以代理 NNTP(网络新闻传输协议)和 NTP(网络时间协议)。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 36
8.6.3 CyberGuard Firewall
CyberGuard Firewall是由 CyberGuard 公司制作的,其主要结构是基于 CX/SX多层式安全操作系统,它的操作相当容易上手 。 CyberGuard
Firewall跟其他防火墙产品不同的地方在于,
它提供一种可以安装在防火墙上的界面卡 。 通过界面卡,可以进行硬件加密 。 这对于整体效果有显著的提高 。 另外,它还有网络地址转译,
支持 Sock,分割式的 DNS等特点 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 37
8.6.4 Cisco PIX Firewall 520
Cisco公司推出的 PIX Firewall 520的处理性能是最好的,其吞吐可达 150Mbit/s,而且使用
NAT时不影响其性能 。 它可以防止有害的
SMTP命令,但对 FTP,它不能对 get和 put进行限制 。 PIX的管理需要有一台 NT服务器专门运行该软件,通过 Web来访问,但使用 Web界面管理 PIX只能进行简单的配置改变 。 它的日志和监控能力较弱,所有日志必须送到另一台运行 syslog的机器上 。
2009年 8月 20日星期四
12时 5分 30秒 防火墙技术 38
小结:
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止不可预测的,潜在破坏性的侵入 。 防火墙作为网络安全体系的基础和核心控制设备,在网络安全中具有举足轻重的地位 。 如何选购一个安全,稳定,可靠的防火墙产品是非常重要的 。
本章主要介绍了防火墙基本知识,包括防火墙的概念、功能特点、安全性、类型、防火墙的选购、安装和维护,并介绍了几种防火墙产品。
