防火墙与网络隔离技术课件.ppt
《防火墙与网络隔离技术课件.ppt》由会员分享,可在线阅读,更多相关《防火墙与网络隔离技术课件.ppt(99页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第四章防火墙与网络隔离技术第四章防火墙与网络隔离技术第第4 4章章 防火墙与网络隔离技术防火墙与网络隔离技术传统情况下,当构筑和使用木结构房屋的时候,为防传统情况下,当构筑和使用木结构房屋的时候,为防传统情况下,当构筑和使用木结构房屋的时候,为防传统情况下,当构筑和使用木结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物被称为防火墙。如今,周围作为屏障,这种防护构筑物被称为防火墙。如今,周围作为屏障,这种防护构筑物
2、被称为防火墙。如今,周围作为屏障,这种防护构筑物被称为防火墙。如今,人们借助这个概念,使用人们借助这个概念,使用人们借助这个概念,使用人们借助这个概念,使用“防火墙防火墙防火墙防火墙”来保护敏感的数来保护敏感的数来保护敏感的数来保护敏感的数据不被窃取和篡改,不过,这些防火墙是由先进的计据不被窃取和篡改,不过,这些防火墙是由先进的计据不被窃取和篡改,不过,这些防火墙是由先进的计据不被窃取和篡改,不过,这些防火墙是由先进的计算机系统构成的。防火墙尤如一道护栏隔在被保护的算机系统构成的。防火墙尤如一道护栏隔在被保护的算机系统构成的。防火墙尤如一道护栏隔在被保护的算机系统构成的。防火墙尤如一道护栏隔在
3、被保护的内部网与不安全的非信任网络之间,用来保护计算机内部网与不安全的非信任网络之间,用来保护计算机内部网与不安全的非信任网络之间,用来保护计算机内部网与不安全的非信任网络之间,用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。网络免受非授权人员的骚扰与黑客的入侵。网络免受非授权人员的骚扰与黑客的入侵。网络免受非授权人员的骚扰与黑客的入侵。第第4 4章章 防火墙与网络隔离技术防火墙与网络隔离技术4.1 4.1 防火墙技术及防火墙技术及防火墙技术及防火墙技术及WindowsWindows防火墙配置防火墙配置防火墙配置防火墙配置4.2 4.2 网络隔离技术与网闸应用网络隔离技术与网闸应用网络隔离
4、技术与网闸应用网络隔离技术与网闸应用4.1 防火墙技术及防火墙技术及Windows防火墙配置防火墙配置防火墙可以是非常简单的过滤器,也可能是精心防火墙可以是非常简单的过滤器,也可能是精心防火墙可以是非常简单的过滤器,也可能是精心防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测配置的网关,但它们的原理是一样的,都是监测配置的网关,但它们的原理是一样的,都是监测配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息交换。防并过滤所有内部网和外部网之间的信息交换。防并过滤所有内部网和外部网之间的信息交换。防并过滤所有内部网和外部网之间的信息交
5、换。防火墙通常是运行在一台单独计算机之上的一个特火墙通常是运行在一台单独计算机之上的一个特火墙通常是运行在一台单独计算机之上的一个特火墙通常是运行在一台单独计算机之上的一个特别的服务软件,它可以识别并屏蔽非法的请求,别的服务软件,它可以识别并屏蔽非法的请求,别的服务软件,它可以识别并屏蔽非法的请求,别的服务软件,它可以识别并屏蔽非法的请求,保护内部网络敏感的数据不被偷窃和破坏,并记保护内部网络敏感的数据不被偷窃和破坏,并记保护内部网络敏感的数据不被偷窃和破坏,并记保护内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志,如通讯发生的录内外通讯的有关状态信息日志,如通讯发生的录内外
6、通讯的有关状态信息日志,如通讯发生的录内外通讯的有关状态信息日志,如通讯发生的时间和进行的操作等。时间和进行的操作等。时间和进行的操作等。时间和进行的操作等。4.1 防火墙技术及防火墙技术及Windows防火墙配置防火墙配置防火墙技术是一种有效的网络安全机制,它主要防火墙技术是一种有效的网络安全机制,它主要防火墙技术是一种有效的网络安全机制,它主要防火墙技术是一种有效的网络安全机制,它主要用于确定哪些内部服务允许外部访问,以及允许用于确定哪些内部服务允许外部访问,以及允许用于确定哪些内部服务允许外部访问,以及允许用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。其基本准则就是
7、:哪些外部服务访问内部服务。其基本准则就是:哪些外部服务访问内部服务。其基本准则就是:哪些外部服务访问内部服务。其基本准则就是:一切未被允许的就是禁止的;一切未被禁止的就一切未被允许的就是禁止的;一切未被禁止的就一切未被允许的就是禁止的;一切未被禁止的就一切未被允许的就是禁止的;一切未被禁止的就是允许的。是允许的。是允许的。是允许的。4.1.1 防火墙技术防火墙技术防火墙是建立在现代通信网络技术和信息安全技防火墙是建立在现代通信网络技术和信息安全技防火墙是建立在现代通信网络技术和信息安全技防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,并越来越多地应用术基础上的应用性安全技
8、术,并越来越多地应用术基础上的应用性安全技术,并越来越多地应用术基础上的应用性安全技术,并越来越多地应用于专用与公用网络的互联环境之中。于专用与公用网络的互联环境之中。于专用与公用网络的互联环境之中。于专用与公用网络的互联环境之中。4.1.1 防火墙技术防火墙技术1.1.防火墙的作用防火墙的作用防火墙的作用防火墙的作用防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一防火墙应该是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制出入口,能根据企业的安全策略控制出入口,能根据企业的安全策略控制
9、出入口,能根据企业的安全策略控制 (允许、拒绝、允许、拒绝、允许、拒绝、允许、拒绝、监测监测监测监测)出入网络的信息流,且本身具有较强的抗攻击出入网络的信息流,且本身具有较强的抗攻击出入网络的信息流,且本身具有较强的抗攻击出入网络的信息流,且本身具有较强的抗攻击能力,是提供信息安全服务,实现网络和信息安全的能力,是提供信息安全服务,实现网络和信息安全的能力,是提供信息安全服务,实现网络和信息安全的能力,是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限基础设施。在逻辑上,防火墙是一个分离器,一个限基础设施。在逻辑上,防火墙是一个分离器,一个限基础设施。在逻辑
10、上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控着内部网和因制器,也是一个分析器,它有效地监控着内部网和因制器,也是一个分析器,它有效地监控着内部网和因制器,也是一个分析器,它有效地监控着内部网和因特网之间的任何活动,保证了内部网络的安全。如图特网之间的任何活动,保证了内部网络的安全。如图特网之间的任何活动,保证了内部网络的安全。如图特网之间的任何活动,保证了内部网络的安全。如图4.14.1所示。所示。所示。所示。图图图图4.1 4.1 防火墙示意图防火墙示意图防火墙示意图防火墙示意图4.1.1 防火墙技术防火墙技术(1)(1)防火墙是网络安全的屏障。由于只有经过精心防火墙是网
11、络安全的屏障。由于只有经过精心防火墙是网络安全的屏障。由于只有经过精心防火墙是网络安全的屏障。由于只有经过精心选择的应用协议才能通过防火墙,所以防火墙选择的应用协议才能通过防火墙,所以防火墙选择的应用协议才能通过防火墙,所以防火墙选择的应用协议才能通过防火墙,所以防火墙 (作为阻塞点、控制点作为阻塞点、控制点作为阻塞点、控制点作为阻塞点、控制点)能极大地提高内部网络的能极大地提高内部网络的能极大地提高内部网络的能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险,安全性,并通过过滤不安全的服务而降低风险,安全性,并通过过滤不安全的服务而降低风险,安全性,并通过过滤不安全的服务而降低风
12、险,使网络环境变得更安全。防火墙同时可以保护网使网络环境变得更安全。防火墙同时可以保护网使网络环境变得更安全。防火墙同时可以保护网使网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如络免受基于路由的攻击,如络免受基于路由的攻击,如络免受基于路由的攻击,如IPIP选项中的源路由攻选项中的源路由攻选项中的源路由攻选项中的源路由攻击和击和击和击和ICMPICMP重定向中的重定向路径等。重定向中的重定向路径等。重定向中的重定向路径等。重定向中的重定向路径等。4.1.1 防火墙技术防火墙技术(2)(2)防火墙可以强化网络安全策略。通过以防火墙防火墙可以强化网络安全策略。通过以防火墙防火墙可
13、以强化网络安全策略。通过以防火墙防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件为中心的安全方案配置,能将所有安全软件为中心的安全方案配置,能将所有安全软件为中心的安全方案配置,能将所有安全软件 (如如如如口令、加密、身份认证、审计等口令、加密、身份认证、审计等口令、加密、身份认证、审计等口令、加密、身份认证、审计等)配置在防火墙配置在防火墙配置在防火墙配置在防火墙上。与将网络安全问题分散到各个主机上相比,上。与将网络安全问题分散到各个主机上相比,上。与将网络安全问题分散到各个主机上相比,上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在
14、网络访问防火墙的集中安全管理更经济。例如在网络访问防火墙的集中安全管理更经济。例如在网络访问防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统时,一次一密口令系统时,一次一密口令系统时,一次一密口令系统(即每一次加密都使用一个即每一次加密都使用一个即每一次加密都使用一个即每一次加密都使用一个不同的密钥不同的密钥不同的密钥不同的密钥)和其他的身份认证系统完全可以集中和其他的身份认证系统完全可以集中和其他的身份认证系统完全可以集中和其他的身份认证系统完全可以集中于防火墙一身。于防火墙一身。于防火墙一身。于防火墙一身。4.1.1 防火墙技术防火墙技术(3)(3)对网络存取和访问进行监控审
15、计。如果所有的对网络存取和访问进行监控审计。如果所有的对网络存取和访问进行监控审计。如果所有的对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这访问都经过防火墙,那么,防火墙就能记录下这访问都经过防火墙,那么,防火墙就能记录下这访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用些访问并做出日志记录,同时也能提供网络使用些访问并做出日志记录,同时也能提供网络使用些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能情况的统计数据。当发生可疑动作时,防火墙能情况的统计数据。当发生可疑动作时,防火墙能情况
16、的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻进行适当的报警,并提供网络是否受到监测和攻进行适当的报警,并提供网络是否受到监测和攻进行适当的报警,并提供网络是否受到监测和攻击的详细信息。击的详细信息。击的详细信息。击的详细信息。4.1.1 防火墙技术防火墙技术另外,收集一个网络的使用和误用情况也是非常另外,收集一个网络的使用和误用情况也是非常另外,收集一个网络的使用和误用情况也是非常另外,收集一个网络的使用和误用情况也是非常重要的,这样可以清楚防火墙是否能够抵挡攻击重要的,这样可以清楚防火墙是否能够抵挡攻击重要的,这样可以清楚防火墙是否能够抵挡攻击重要的,这样
17、可以清楚防火墙是否能够抵挡攻击者的探测和攻击,清楚防火墙的控制是否充分。者的探测和攻击,清楚防火墙的控制是否充分。者的探测和攻击,清楚防火墙的控制是否充分。者的探测和攻击,清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而而网络使用统计对网络需求分析和威胁分析等而而网络使用统计对网络需求分析和威胁分析等而而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。言也是非常重要的。言也是非常重要的。言也是非常重要的。4.1.1 防火墙技术防火墙技术(4)(4)防止内部信息的外泄。通过利用防火墙对内部防止内部信息的外泄。通过利用防火墙对内部防止内部信息的外泄。通过利用防火墙对内
18、部防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从网络的划分,可实现内部网重点网段的隔离,从网络的划分,可实现内部网重点网段的隔离,从网络的划分,可实现内部网重点网段的隔离,从而限制局部重点或敏感网络安全问题对全局网络而限制局部重点或敏感网络安全问题对全局网络而限制局部重点或敏感网络安全问题对全局网络而限制局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的造成的影响。再者,隐私是内部网络非常关心的造成的影响。再者,隐私是内部网络非常关心的造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包问题,一个内
19、部网络中不引人注意的细节可能包问题,一个内部网络中不引人注意的细节可能包问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,含了有关安全的线索而引起外部攻击者的兴趣,含了有关安全的线索而引起外部攻击者的兴趣,含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。甚至因此而暴露了内部网络的某些安全漏洞。甚至因此而暴露了内部网络的某些安全漏洞。甚至因此而暴露了内部网络的某些安全漏洞。4.1.1 防火墙技术防火墙技术使用防火墙就可以隐蔽那些透漏内部细节的例如使用防火墙就可以隐蔽那些透漏内部细节的例如使用防火墙就可以隐蔽那些透漏内部细节的例如
20、使用防火墙就可以隐蔽那些透漏内部细节的例如Finger(Finger(用来查询使用者的资料用来查询使用者的资料用来查询使用者的资料用来查询使用者的资料),DNS(DNS(域名系域名系域名系域名系统统统统)等服务。等服务。等服务。等服务。FingerFinger显示了主机的所有用户的注册显示了主机的所有用户的注册显示了主机的所有用户的注册显示了主机的所有用户的注册名、真名、最后登录时间和使用名、真名、最后登录时间和使用名、真名、最后登录时间和使用名、真名、最后登录时间和使用shellshell类型等。但类型等。但类型等。但类型等。但是是是是FingerFinger显示的信息非常容易被攻击者所获悉
21、。显示的信息非常容易被攻击者所获悉。显示的信息非常容易被攻击者所获悉。显示的信息非常容易被攻击者所获悉。4.1.1 防火墙技术防火墙技术攻击者可以由此而知道一个系统使用的频繁程度,攻击者可以由此而知道一个系统使用的频繁程度,攻击者可以由此而知道一个系统使用的频繁程度,攻击者可以由此而知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是这个系统是否有用户正在连线上网,这个系统是这个系统是否有用户正在连线上网,这个系统是这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻否在被攻击时引起注意等等。防火墙可以同样阻否在被攻击时引起注意等等。防火墙可以
22、同样阻否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的塞有关内部网络中的塞有关内部网络中的塞有关内部网络中的DNSDNS信息,这样一台主机的信息,这样一台主机的信息,这样一台主机的信息,这样一台主机的域名和域名和域名和域名和IPIP地址就不会被外界所了解。除了安全作地址就不会被外界所了解。除了安全作地址就不会被外界所了解。除了安全作地址就不会被外界所了解。除了安全作用,防火墙还支持具有因特网服务特性的企业内用,防火墙还支持具有因特网服务特性的企业内用,防火墙还支持具有因特网服务特性的企业内用,防火墙还支持具有因特网服务特性的企业内部网络技术体系部网络技术体系部网络技术体系部网络技术
23、体系VPN(VPN(虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络)。4.1.1 防火墙技术防火墙技术2.2.防火墙的种类防火墙的种类防火墙的种类防火墙的种类根据防范的方式和侧重点的不同,防火墙技术可根据防范的方式和侧重点的不同,防火墙技术可根据防范的方式和侧重点的不同,防火墙技术可根据防范的方式和侧重点的不同,防火墙技术可分成很多类型,但总体来讲还是两大类:分组过分成很多类型,但总体来讲还是两大类:分组过分成很多类型,但总体来讲还是两大类:分组过分成很多类型,但总体来讲还是两大类:分组过滤和应用代理。滤和应用代理。滤和应用代理。滤和应用代理。4.1.1 防火墙技术防火墙技术(1)(1)包过
24、滤或分组过滤技术包过滤或分组过滤技术包过滤或分组过滤技术包过滤或分组过滤技术 (Packet filtering)(Packet filtering)。作。作。作。作用于网络层和传输层,通常安装在路由器上,对用于网络层和传输层,通常安装在路由器上,对用于网络层和传输层,通常安装在路由器上,对用于网络层和传输层,通常安装在路由器上,对数据进行选择,它根据分组包头源地址,目的地数据进行选择,它根据分组包头源地址,目的地数据进行选择,它根据分组包头源地址,目的地数据进行选择,它根据分组包头源地址,目的地址和端口号、协议类型址和端口号、协议类型址和端口号、协议类型址和端口号、协议类型 (TCP/UDP
25、/ICMP/IP(TCP/UDP/ICMP/IP tunnel)tunnel)等标志,确定是否允许数据包通过。只有等标志,确定是否允许数据包通过。只有等标志,确定是否允许数据包通过。只有等标志,确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地满足过滤逻辑的数据包才被转发到相应的目的地满足过滤逻辑的数据包才被转发到相应的目的地满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。出口端,其余数据包则被从数据流中丢弃。出口端,其余数据包则被从数据流中丢弃。出口端,其余数据包则被从数据流中丢弃。4.1.1 防火墙技术防火墙技术(2)(2)代理服务技术。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 网络 隔离 技术 课件
限制150内