计算机网络技术第二十二讲课件

计算机网络技术聊城大学环境与规划学院2007年1月第二十二讲计算机网络技术聊城大学环境与规划学院第二十二讲6.3防火墙技术6.3.1防火墙及其功能6.3.2防火墙的基本技术6.3.3防火墙的配置6.3防火墙技术6.3.1防火墙及其功能6.3防火墙技术本节教学目标：理解防火墙的功能；掌握防火墙的基本技术；了解防火墙的配置。6.3防火墙技术本节教学目标：6.3.1防火墙及其功能§6.3防火墙技术防火墙是一个分离器、限制器、分析器防火墙软件可以安装在路由器上；防火墙软件也可以安装在一台主机上。6.3.1防火墙及其功能§6.3防火墙技术防火墙是一个分6.3.1防火墙及其功能§6.3防火墙技术防火墙逻辑位置示意图6.3.1防火墙及其功能§6.3防火墙技术防火墙逻辑位置6.3.1防火墙及其功能防火墙的功能：§6.3防火墙技术作为网络安全的屏障。强化网络安全策略。有效的记录Internet上的活动。防止攻击性故障蔓延和内部信息的泄漏。6.3.1防火墙及其功能防火墙的功能：§6.3防火墙技术6.3.1防火墙及其功能防火墙的缺陷：§6.3防火墙技术防火墙具有一定的局限，不能防备全部的威胁。防火墙不能防止数据驱动式的攻击。6.3.1防火墙及其功能防火墙的缺陷：§6.3防火墙技术6.3.2防火墙的基本技术目前使用的防火墙技术主要有：§6.3防火墙技术1.包过滤技术；就是在网络的适当位置对数据包进行审查；在Internet技术中还使用内容过滤技术；“黑名单”软件；“白名单”软件；内容选择平台PICS。6.3.2防火墙的基本技术目前使用的防火墙技术主要有：§66.3.2防火墙的基本技术数据包过滤防火墙网络的特点：§6.3防火墙技术逻辑简单、性能和透明性好；一般安装在路由器上；这种防火墙实现方式相当简捷、效率较高；在应用环境比较简单的情况下，保证系统安全的代价较小。6.3.2防火墙的基本技术数据包过滤防火墙网络的特点：§66.3.2防火墙的基本技术数据包过滤防火墙网络的缺陷：§6.3防火墙技术只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用的恶意侵入；由于数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被窃听或假冒；缺乏用户日志和审计检查，不具备登录报告性能，不能进行审核管理；过滤规则的完整性难以验证，安全性较差。6.3.2防火墙的基本技术数据包过滤防火墙网络的缺陷：§66.3.2防火墙的基本技术2.代理服务技术§6.3防火墙技术（1）代理服务概述是位于两个网络之间的一种常见的服务器；位于客户机和服务器之间，完全阻挡了二者之间的数据交流。6.3.2防火墙的基本技术2.代理服务技术§6.3防火墙6.3.2防火墙的基本技术2.代理服务技术§6.3防火墙技术6.3.2防火墙的基本技术2.代理服务技术§6.3防火墙6.3.2防火墙的基本技术其特别之处在于：§6.3防火墙技术从客户机来看，相当于一台真正的服务器；从服务器来看，又是一台真正的客户机。6.3.2防火墙的基本技术其特别之处在于：§6.3防火墙客户端代理服务器服务器InternetIntranet6.3.2防火墙的基本技术（2）代理服务器的工作原理§6.3防火墙技术请求应答转发应答转发请求客代服InternetIntranet6.3.2防火墙的基6.3.2防火墙的基本技术（2）代理服务器的工作原理§6.3防火墙技术应用代理程序与服务器之间的连接是虚连接；两条虚连接：客户连接；服务器连接。代理服务器的中转。6.3.2防火墙的基本技术（2）代理服务器的工作原理§防火墙的基本技术（3）应用代理程序：§6.3防火墙技术是代理服务器的核心部件；是根据不同的应用协议进行设计的。应用网关可以分为FTP网关、Telnet网关、Web网关等。6.3.2防火墙的基本技术（3）应用代理程序：§6.3防6.3.2防火墙的基本技术（4）代理服务器的功能：§6.3防火墙技术中转数据；对传输的数据进行预处理。对中转数据提供详细的日志和审计。节省IP地址。节省网络资源。6.3.2防火墙的基本技术（4）代理服务器的功能：§防火墙的基本技术3.堡垒主机§6.3防火墙技术是运行防火墙软件的主机；使防火墙最关键的部件。也是入侵者最关注的部件。必须健壮，必须不容易被攻破。6.3.2防火墙的基本技术3.堡垒主机§6.3防火墙技术6.3.3防火墙的配置1.包过滤路由器§6.3防火墙技术是最简单的一种；除路由功能，还安装了分组/包过滤软件。容易实现。安全性非常脆弱。仅在早期的Internet中使用。6.3.3防火墙的配置1.包过滤路由器§6.3防火墙技术6.3.3防火墙的配置2.屏蔽主机防火墙§6.3防火墙技术由同时部署的包过滤路由器和堡垒主机组成；包过滤路由器实现网络层安全。代理服务器实现应用层安全。包过滤路由器被配置在外网和堡垒主机之间。6.3.3防火墙的配置2.屏蔽主机防火墙§6.3防火墙技6.3.3防火墙的配置堡垒主机分为两种类型：§6.3防火墙技术双连点堡垒主机单连点堡垒主机6.3.3防火墙的配置堡垒主机分为两种类型：§6.3防火6.3.3防火墙的配置§6.3防火墙技术双连点堡垒主机Internet包过滤路由器信息服务器堡垒主机Intranet6.3.3防火墙的配置§6.3防火墙技术双连点堡垒主机包6.3.3防火墙的配置§6.3防火墙技术单连点堡垒主机Internet包过滤路由器信息服务器堡垒主机Intranet6.3.3防火墙的配置§6.3防火墙技术单连点堡垒主机包6.3.3防火墙的配置屏蔽主机防火墙的优势与缺陷：§6.3防火墙技术具有双重保护，又较高的安全可靠性；能有选择的允许那些可以信赖的应用程序通过路由器，非常灵活。但他要求考虑堡垒主机和路由器两个方面的安全性。系统的灵活性也会导致走捷径从而破坏安全性。6.3.3防火墙的配置屏蔽主机防火墙的优势与缺陷：§防火墙的配置3.屏蔽子网防火墙§6.3防火墙技术Internet外部路由器信息服务器堡垒主机IntranetDMZ内部路由器Modem6.3.3防火墙的配置3.屏蔽子网防火墙§6.3防火墙技6.3.3防火墙的配置屏蔽子网防火墙的特点§6.3防火墙技术由两个路由器构成一个“非军事区”；迫使源于内部主机的业务流和源于外部主机的业务流都必须经过堡垒主机。任何跨越子网的直接访问都是被严格禁止的。具有较高的安全性。要求的设备和软件模块较多，价格较贵且相当复杂。6.3.3防火墙的配置屏蔽子网防火墙的特点§6.3防火墙本课到此结束!THANKYOUVERYMUCH！本课到此结束!THANKYOUVERYMUCH！计算机网络技术聊城大学环境与规划学院2007年1月第二十二讲计算机网络技术聊城大学环境与规划学院第二十二讲6.3防火墙技术6.3.1防火墙及其功能6.3.2防火墙的基本技术6.3.3防火墙的配置6.3防火墙技术6.3.1防火墙及其功能6.3防火墙技术本节教学目标：理解防火墙的功能；掌握防火墙的基本技术；了解防火墙的配置。6.3防火墙技术本节教学目标：6.3.1防火墙及其功能§6.3防火墙技术防火墙是一个分离器、限制器、分析器防火墙软件可以安装在路由器上；防火墙软件也可以安装在一台主机上。6.3.1防火墙及其功能§6.3防火墙技术防火墙是一个分6.3.1防火墙及其功能§6.3防火墙技术防火墙逻辑位置示意图6.3.1防火墙及其功能§6.3防火墙技术防火墙逻辑位置6.3.1防火墙及其功能防火墙的功能：§6.3防火墙技术作为网络安全的屏障。强化网络安全策略。有效的记录Internet上的活动。防止攻击性故障蔓延和内部信息的泄漏。6.3.1防火墙及其功能防火墙的功能：§6.3防火墙技术6.3.1防火墙及其功能防火墙的缺陷：§6.3防火墙技术防火墙具有一定的局限，不能防备全部的威胁。防火墙不能防止数据驱动式的攻击。6.3.1防火墙及其功能防火墙的缺陷：§6.3防火墙技术6.3.2防火墙的基本技术目前使用的防火墙技术主要有：§6.3防火墙技术1.包过滤技术；就是在网络的适当位置对数据包进行审查；在Internet技术中还使用内容过滤技术；“黑名单”软件；“白名单”软件；内容选择平台PICS。6.3.2防火墙的基本技术目前使用的防火墙技术主要有：§66.3.2防火墙的基本技术数据包过滤防火墙网络的特点：§6.3防火墙技术逻辑简单、性能和透明性好；一般安装在路由器上；这种防火墙实现方式相当简捷、效率较高；在应用环境比较简单的情况下，保证系统安全的代价较小。6.3.2防火墙的基本技术数据包过滤防火墙网络的特点：§66.3.2防火墙的基本技术数据包过滤防火墙网络的缺陷：§6.3防火墙技术只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用的恶意侵入；由于数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被窃听或假冒；缺乏用户日志和审计检查，不具备登录报告性能，不能进行审核管理；过滤规则的完整性难以验证，安全性较差。6.3.2防火墙的基本技术数据包过滤防火墙网络的缺陷：§66.3.2防火墙的基本技术2.代理服务技术§6.3防火墙技术（1）代理服务概述是位于两个网络之间的一种常见的服务器；位于客户机和服务器之间，完全阻挡了二者之间的数据交流。6.3.2防火墙的基本技术2.代理服务技术§6.3防火墙6.3.2防火墙的基本技术2.代理服务技术§6.3防火墙技术6.3.2防火墙的基本技术2.代理服务技术§6.3防火墙6.3.2防火墙的基本技术其特别之处在于：§6.3防火墙技术从客户机来看，相当于一台真正的服务器；从服务器来看，又是一台真正的客户机。6.3.2防火墙的基本技术其特别之处在于：§6.3防火墙客户端代理服务器服务器InternetIntranet6.3.2防火墙的基本技术（2）代理服务器的工作原理§6.3防火墙技术请求应答转发应答转发请求客代服InternetIntranet6.3.2防火墙的基6.3.2防火墙的基本技术（2）代理服务器的工作原理§6.3防火墙技术应用代理程序与服务器之间的连接是虚连接；两条虚连接：客户连接；服务器连接。代理服务器的中转。6.3.2防火墙的基本技术（2）代理服务器的工作原理§防火墙的基本技术（3）应用代理程序：§6.3防火墙技术是代理服务器的核心部件；是根据不同的应用协议进行设计的。应用网关可以分为FTP网关、Telnet网关、Web网关等。6.3.2防火墙的基本技术（3）应用代理程序：§6.3防6.3.2防火墙的基本技术（4）代理服务器的功能：§6.3防火墙技术中转数据；对传输的数据进行预处理。对中转数据提供详细的日志和审计。节省IP地址。节省网络资源。6.3.2防火墙的基本技术（4）代理服务器的功能：§防火墙的基本技术3.堡垒主机§6.3防火墙技术是运行防火墙软件的主机；使防火墙最关键的部件。也是入侵者最关注的部件。必须健壮，必须不容易被攻破。6.3.2防火墙的基本技术3.堡垒主机§6.3防火墙技术6.3.3防火墙的配置1.包过滤路由器§6.3防火墙技术是最简单的一种；除路由功能，还安装了分组/包过滤软件。容易实现。安全性非常脆弱。仅在早期的Internet中使用。6.3.3防火墙的配置1.包过滤路由器§6.3防火墙技术6.3.3防火墙的配置2.屏蔽主机防火墙§6.3防火墙技术由同时部署的包过滤路由器和堡垒主机组成；包过滤路由器实现网络层安全。代理服务器实现应用层安全。包过滤路由器被配置在外网和堡垒主机之间。6.3.3防火墙的配置2.屏蔽主机防火墙§6.3防火墙技6.3.3防火墙的配置堡垒主机分为两种类型：§6.3防火墙技术双连点堡垒主机单连点堡垒主机6.3.3防火墙的配置堡垒主机分为两种类型：§6.3防火6.3.3防火墙的配置§6.3防火墙技术双连点堡垒主机Internet包过滤路由器信息服务器堡垒主机Intranet6.3.3防火墙的配置§6.3防火墙技术双连点堡垒