http://www.wenyuan.com.cn/webnew/第第77章防火墙章防火墙http://www.wenyuan.com.cn/webnew/【本章要点】通过本章的学习,可以了解防火墙的基本概念和防火墙的功能,掌握防火墙的规则;掌握防火墙的分类方法和体系结构的相关知识;掌握防火墙的应用方法。http://www.wenyuan.com.cn/webnew/第第77章防火墙章防火墙7.1防火墙概述7.2防火墙的分类7.3防火墙的体系结构7.4防火墙的主要应用http://www.wenyuan.com.cn/webnew/7.17.1防火墙概述防火墙概述7.1.1防火墙的基本概念防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。http://www.wenyuan.com.cn/webnew/有关防火墙的一些基本术语有关防火墙的一些基本术语1)屏蔽子网(screenedsubnet)2)主机(host)3)堡垒主机(bastionhost)4)双宿主主机(dwalhomedhost)5)数据包过滤(packagefiltering)6)屏蔽路由器(screenedrouter)7)屏蔽主机(screenedhost)8)防火墙(firewall)http://www.wenyuan.com.cn/webnew/有关防火墙的一些基本术语有关防火墙的一些基本术语9)代理服务器(proxyserver)10)IP地址欺骗(IPspoofing)11)隧道路由器(tunnelingroutcr)12)虚拟私用网(VirtualPrivateNetwork,VPN)13)DNS欺骗(DNSspoofing)14)差错与控制报文(ICMP)15)纵深防御(DefenseinDepth)16)最小特权(LeastPrivilege)http://www.wenyuan.com.cn/webnew/使用防火墙保护的益处:(1)所有风险区域都集中在单一系统即防火墙上,安全管理者就可针对网络的某个方面进行管理,而采取的安全措施对网络中的其他区域并不会有多大影响。(2)监测与控制装置仅需安装在防火墙中。(3)内部网络与外部的一切联系都必须通过防火墙进行,因此防火墙能够监视与控制所有联系过程。http://www.wenyuan.com.cn/webnew/7.1.27.1.2防火墙的功能防火墙的功能(1)防火墙是网络安全的屏障(2)防火墙可以强化网络安全策略(3)对网络存取和访问进行监控审计(4)防止内部信息的外泄http://www.wenyuan.com.cn/webnew/7.1.37.1.3防火墙的规则防火墙的规则第一步:制定安全策略第二步:搭建安全体系结构第三步:制定规则次序第四步:落实规则集第五步:注意更换控制第六步:做好审计工作http://www.wenyuan.com.cn/webnew/7.27.2防火墙的分类防火墙的分类7.2.1按软、硬件分类软件防火墙和硬件防火墙以及芯片级防火墙。1.软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。2.硬件防火墙http://www.wenyuan.com.cn/webnew/3.芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。http://www.wenyuan.com.cn/webnew/7.2.27.2.2按技术分类按技术分类1.包过滤防火墙包过滤防火墙具有根本的缺陷:(1)不能防范黑客攻击(2)不支持应用层协议(3)不能处理新的安全威胁2.应用代理防火墙缺点也非常突出,主要有:(1)难于配置(2)处理速度非常慢http://www.wenyuan.com.cn/webnew/3.状态检测防火墙状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包...
