【文章內(nèi)容簡介】 密 鑰 響 應(yīng)證書鑒別密鑰協(xié)商數(shù) 據(jù) 通 信知識域：網(wǎng)絡(luò)安全設(shè)備 ?知識子域：防火墻 ? 理解防火墻的作用、功能及分類 ? 理解包過濾技術(shù)、狀態(tài)檢測技術(shù)和應(yīng)用代理技術(shù)等防火墻主要技術(shù)原理 ? 掌握防火墻的典型部署方式 ? 理解防火墻的局限性 38 ?控制 ? 在 網(wǎng)絡(luò)連接點上建立一個安全控制點，對進出數(shù)據(jù)進行限制 ?隔 離 ? 將 需要保護的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進行隔離，隱藏信息并進行安全防護 ?記 錄 ? 對 進出數(shù)據(jù)進行檢查，記錄相關(guān)信息 防火墻 的作用與功能 39 安全網(wǎng)域一 防火墻的分類 ?按 防火墻形態(tài) ? 硬件防火墻 ? 軟件防火 墻 ?按技術(shù)實現(xiàn) ? 包過濾（透明模式） ? 代 理 ?按 體系結(jié)構(gòu)分 ? 雙宿 /多宿主機防火墻 ? 屏蔽主機防火墻 ? 屏蔽子網(wǎng)防火墻 ?其 他分類方法 40 防火墻的實現(xiàn)技術(shù) ?包過濾技 術(shù) ?代 理網(wǎng)關(guān)技術(shù) ?狀 態(tài)檢測技 術(shù) ?自適應(yīng)代理技 術(shù) 41 防火墻 的實現(xiàn)技術(shù) 包 過濾 ?實現(xiàn)機制：依據(jù)數(shù)據(jù)包的基本標記來控制數(shù)據(jù)包 ? 網(wǎng) 絡(luò)層地址： IP地址（源地址及目的地址） ? 傳 輸層地址：端口（源端口及目的端口） ? 協(xié) 議：協(xié)議類型 42 安全網(wǎng)域一 防火墻 的實現(xiàn)技術(shù) 包過濾 ? 優(yōu) 點 : ? 只對數(shù)據(jù)包的 IP 地址、 TCP/UDP 協(xié)議和端口進行分析，規(guī)則簡單，處理速度較快 ? 易于配置 ? 對用戶 透明，用戶 訪問時不需要提供額外的密碼或使用特殊的命令 ? 缺點： ? 檢查和過濾器只在 網(wǎng)絡(luò)層 ， 不能 識別應(yīng)用層協(xié)議或維持連接狀態(tài) ? 安全性 薄弱，不能 防止 IP欺騙等 43 防火墻的實現(xiàn)技術(shù) 代理網(wǎng)關(guān) ?每 一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通 過防火墻的 介入和轉(zhuǎn) 換，加強了控制 ?分類 ? 電 路級代理 ? 應(yīng)用代理 44 防火墻的實現(xiàn)技術(shù) 電路級代理 ?建立回路，對數(shù)據(jù)包進行轉(zhuǎn)發(fā) ?優(yōu)點 ? 能提供 NAT，為內(nèi)部地址管理提供靈活性，隱藏內(nèi)部網(wǎng)絡(luò)等 ? 適 用面廣 ?缺 點 ? 僅簡單的在兩個連接間轉(zhuǎn)發(fā)數(shù)據(jù)，不能識別數(shù)據(jù)包的內(nèi)容 45 防火墻的實現(xiàn)技術(shù) 應(yīng)用代理 ?工作在應(yīng)用層 ?使 用代理 技 術(shù)，對應(yīng)用層數(shù)據(jù)包進行檢查 ?對應(yīng)用或內(nèi)容進行 過濾，例如 ：禁止 FTP的 “ put” 命令 46 防火墻的實現(xiàn)技 術(shù) 應(yīng) 用代理 ?優(yōu)點 ? 可以檢查應(yīng)用層內(nèi)容，根據(jù)內(nèi)容進行審核和過濾 ? 提 供良好的安全性 ?缺點 ? 支持的應(yīng)用數(shù)量有限 ? 性 能表現(xiàn)欠佳 47 防火 墻的實現(xiàn)技術(shù) NAT ?什 么是 NAT ? 一種將私有（保留）地址轉(zhuǎn)化為合法 IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型 Inter接入方式和各種類型的網(wǎng)絡(luò)中 。 ?NAT技術(shù)設(shè)計初衷 ? 增加私有組織的可用地址空間 ? 解 決現(xiàn)有私有 網(wǎng) 絡(luò)接入的 IP地址編號問題 48 防火 墻的實現(xiàn)技術(shù) NAT ?NAT實 現(xiàn)方式 ? 靜 態(tài)地址轉(zhuǎn)換 ? 動 態(tài)地址轉(zhuǎn)換 ? 端 口轉(zhuǎn)換 49 安全網(wǎng)域一 NAT的優(yōu)缺點 ?優(yōu)點 ? 管理方便并且節(jié)約 IP地址資 源 ? 隱藏內(nèi)部 IP 地址信 息 ? 可用于實現(xiàn)網(wǎng)絡(luò)負載均衡 ?缺點 ? 外部應(yīng)用程序卻不能方便地與 NAT 網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。 50 防火墻實現(xiàn)技術(shù) 狀態(tài)檢測 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 表示層 會話層 傳輸層 檢測引擎 應(yīng)用層 動態(tài)狀態(tài)表 動態(tài)狀態(tài)表 動態(tài)狀態(tài)表 ?在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間對數(shù)據(jù) 包進 行檢測 ?創(chuàng)建狀態(tài)表用于維護連接上下文 應(yīng)用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 應(yīng)用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 51 防火墻實現(xiàn)技術(shù) 狀態(tài)檢測 ?狀態(tài)檢測技術(shù)的特點 ? 安 全性 高，可根 據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行 ? 性能高，在數(shù)據(jù)包進入防火墻時就進行識別和判斷 ? 適 應(yīng)性好 ? 對用戶、應(yīng)用程序透明 52 防火墻實現(xiàn)技術(shù) 自適應(yīng)代理技術(shù) ?特點 ? 根據(jù)用戶定義安全規(guī)則動態(tài)“適應(yīng)”傳輸網(wǎng)絡(luò)數(shù)據(jù) ? 代理服務(wù) 可以從 應(yīng)用層 轉(zhuǎn)發(fā)，也可以從 網(wǎng)絡(luò)層 轉(zhuǎn)發(fā) ? 高安全要求：則在應(yīng)用層進行檢查 ? 明 確會話安全 細節(jié) ：則在鏈路層數(shù)據(jù)包轉(zhuǎn)發(fā) ? 兼 有高安全性和高效率 53 防火 墻 部署方式 ?路由模式 ?透明模式 ?混合模式 54 防 火墻的工作模 式 路由 模式 內(nèi)部網(wǎng)絡(luò) GW: 外部網(wǎng)絡(luò) GW: 防火墻 Inter Intra 55 防 火墻的工作模 式 透明模式 56 內(nèi)部網(wǎng)絡(luò) GW: 外部網(wǎng)絡(luò) 路由器 Inter Intra 防火墻的工作模式 混合模式 57 內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò) GW: 防火墻 Inter Intra Intra 內(nèi)部網(wǎng)絡(luò) GW: 路 由模式 透明模式 防火墻的典型部署 ?區(qū) 域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、 DMZ區(qū) 58 可信網(wǎng)絡(luò) 不可信的網(wǎng) 絡(luò) 防火墻 路由器 Inter Intra DMZ 非軍事化區(qū) 防護墻的策略設(shè)置 ?沒 有明確允許的就是禁止 ? 先阻止所有數(shù)據(jù)包 ? 需 要的給予開放 ?沒有明確禁止的就是允許 ? 對明確禁止的設(shè)置策略 59 防火墻的策略設(shè)置 ?可信網(wǎng)絡(luò)可向 DMZ區(qū)和不可信網(wǎng)絡(luò)發(fā)起連接請求 60 可信網(wǎng)絡(luò) 不可信的網(wǎng) 絡(luò) 防火墻 路由器 Inter Intra DMZ 非軍事化區(qū) 防火墻的策略設(shè)置 ?DMZ區(qū)可接受可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接請求 ?DMZ區(qū)不可向可信網(wǎng)絡(luò)發(fā)起連接請求 ?DMZ區(qū)與不可信網(wǎng)絡(luò)的連接請求根據(jù)業(yè)務(wù)需要確定 61 可信網(wǎng)絡(luò) 不可信的網(wǎng) 絡(luò) 防火墻 路由器 Inter Intra DMZ 非軍事化區(qū) 防火墻 部署結(jié)構(gòu) ?防火墻的部署位置 ? 可 信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間 ? 不同安全級別網(wǎng)絡(luò)之間 ? 兩個需要隔離的區(qū)域之間 ?防火墻的部署方式 ? 單防火墻（無 DMZ）部署方式 ? 單防火墻（ DMZ）部署方式 ? 雙防火墻部署方式 62 單防火墻（無 DMZ）部署方式 ?區(qū)域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò) ?結(jié)構(gòu)簡單，易于實施 內(nèi)部網(wǎng)絡(luò) GW: 外部網(wǎng)