武汉轻工大学（武汉工业学院）：《计算机信息安全》课程教学资源（PPT课件讲稿）第十二章 防火墙

第十二章防火墙

第十二章 防火墙

12.1防火墙概述 什么是防火墙 古代修筑在房屋之间的一道墙,用于防止火势蔓 延 现在用于控制两个不同安全策略的网络之间互 访,执行访问控制策略

12.1 防火墙概述 什么是防火墙 ◼ 古代修筑在房屋之间的一道墙,用于防止火势蔓 延 ◼ 现在用于控制两个不同安全策略的网络之间互 访,执行访问控制策略

通过它可以隔离风险区域(即 Internet或有 定风险的网络)与安全区域(局域网)的连 接,同时不会妨碍人们对风险区域的访问 在 Internet上超过三分之一的Web网站都是 由某种形式的防火墙加以保护,这是对黑 客防范最严,安全性较强的一种方式,任 何关键性的服务器,都建议放在防火墙之 后

通过它可以隔离风险区域(即Internet或有 一定风险的网络)与安全区域(局域网)的连 接，同时不会妨碍人们对风险区域的访问。 在Internet上超过三分之一的Web网站都是 由某种形式的防火墙加以保护，这是对黑 客防范最严，安全性较强的一种方式，任 何关键性的服务器，都建议放在防火墙之 后

工作站… 服务器 Intranet 防火墙 Internet 工作站 工作站

防火墙概念 ●防火墙是位于两个或多个网络之间,执行访问控 制策略的一个或一组系统,是一类防范措施的总 好的防火墙具备: -内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 a-防火墙自身应对渗透( peneration)免疫

防火墙概念 防火墙是位于两个或多个网络之间，执行访问控 制策略的一个或一组系统，是一类防范措施的总 称. 一个好的防火墙具备: ◼ – 内部和外部之间的所有网络数据流必须经过防火墙 ◼ – 只有符合安全政策的数据流才能通过防火墙 ◼ – 防火墙自身应对渗透(peneration)免疫

12.12防火墙的功能 服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允 许哪个方向能够通过防火墙 ·用户控制,根据用户来控制对服务的访问 ·行为控制,控制一个特定的服务的行为

12.1.2 防火墙的功能 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允 许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为

对内部网实现集中的安全管理,强化网络安 全策略 防止非授权用户进入内部网络 方便的监视网络安全并及时报警 实现网络地址转换 ·对内部网络进行划分,实现重点网段的隔离 审计和记录网络访间

对内部网实现集中的安全管理,强化网络安 全策略 防止非授权用户进入内部网络 方便的监视网络安全并及时报警 实现网络地址转换 对内部网络进行划分,实现重点网段的隔离 审计和记录网络访问

防火墙的作用 确保一个单位内的网络与因特网的通信符 该单位的安全方针,为管理人员提供下 列问题的答案: 谁在使用网络 一他们在网络上做什么 a一他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功

防火墙的作用 确保一个单位内的网络与因特网的通信符 合该单位的安全方针，为管理人员提供下 列问题的答案: ◼ – 谁在使用网络 ◼ – 他们在网络上做什么 ◼ – 他们什么时间使用了网络 ◼ – 他们上网去了何处 ◼ – 谁要上网没有成功

防火墙的基本规则 防火墙设计策略 一种是“一切未被允许的就是禁止的” 种是“一切未被禁止的都是允许的 第一种的特点是安全性好,但是用户所能使用 的服务范围受到严格限制。第二种的特点是可 以为用户提供更多的服务,但是在日益增多的 网络服务面前,很难为用户提供可靠的安全防 护

防火墙的基本规则 防火墙设计策略 ◼ 一种是“一切未被允许的就是禁止的” ◼ 一种是“一切未被禁止的都是允许的” 。 ◼ 第一种的特点是安全性好，但是用户所能使用 的服务范围受到严格限制。第二种的特点是可 以为用户提供更多的服务，但是在日益增多的 网络服务面前，很难为用户提供可靠的安全防 护

12.2防火墙技术 数据包过滤技术 包过滤防火墙以色列的 Checkpoint防火墙和 Cisco公司的PIX防火墙为代表一 代理服务 代理防火墙(应用层网关防火墙)。以美国NAI 公司的 Gaunt1et防火墙为代表

12.2 防火墙技术 数据包过滤技术 ◼ 包过滤防火墙 以色列的Checkpoint防火墙和 Cisco公司的PIX防火墙为代表 代理服务 ◼ 代理防火墙（应用层网关防火墙）。以美国NAI 公司的Gauntlet防火墙为代表