河南中医药大学：《网络技术实训》课程教学资源（PPT课件讲稿）第7讲 网络安全实训（主讲：许成刚）

网络技术实训 第7讲:网络安全实训 许成刚 信息技术学院 2018.10

网络技术实训 第7讲：网络安全实训 许成刚 信息技术学院 2018.10 1

一、防火墙技术及设计实现

一、防火墙技术及设计实现 2

1防火墙是什么? 口设置在不同网络(如可信任 的企业内部网络和不可信的 公共网络)或网络安全域之 间的一系列部件的组合。在 Client Workstation 逻辑上,防火墙是一个分离外 器、一个分析器,也是一个 Switch Client Workstation 限制器,能够有效地监控流 Firewall 经防火墙的数据,保证内部 网络和隔离区的安全。 File Se

1.防火墙是什么？  设置在不同网络（如可信任 的企业内部网络和不可信的 公共网络）或网络安全域之 间的一系列部件的组合。在 逻辑上，防火墙是一个分离 器、一个分析器，也是一个 限制器，能够有效地监控流 经防火墙的数据，保证内部 网络和隔离区的安全。 3

1防火墙是什么? □防火墙是在两个网络之间执行访问控制策略的一个或一组系统, 包括硬件和软件,其目的是保护网络不被他人侵扰 口本质上,防火墙遵循的是一种允许或阻止业务来往的网络通信安 全机制,也就是提供可控的、能过滤的网络通信。 运行/阻止

1.防火墙是什么？  防火墙是在两个网络之间执行访问控制策略的一个或一组系统， 包括硬件和软件，其目的是保护网络不被他人侵扰。  本质上，防火墙遵循的是一种允许或阻止业务来往的网络通信安 全机制，也就是提供可控的、能过滤的网络通信。 4 运行 / 阻止

5 1防火墙是什么? 口防火墙最常用的应用是防止 nternet(或其他外部网络)上的危 险(非法访问或攻击等)传播到需要保护的内部网络 通常防火墙就是位于内部网或Web站点与互联网之间的一个路由器 或一台计算机。 互联网 防火墙 内部网 防火墙在网络中的位置

1.防火墙是什么？  防火墙最常用的应用是防止Internet（或其他外部网络）上的危 险（非法访问或攻击等）传播到需要保护的内部网络。  通常防火墙就是位于内部网或Web站点与互联网之间的一个路由器 或一台计算机。 5 防火墙在网络中的位置

1防火墙是什么? 口不管什么种类的防火墙,不论其采用何种技术手段,防火墙都 必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口。 ■防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的 信息流,且自身具有较强的抗攻击能力(采用不易攻击的专用系统 或采用纯硬件的处理器芯片)。 ■防火墙本身不能影响正常网络信息的流通

1.防火墙是什么？  不管什么种类的防火墙，不论其采用何种技术手段，防火墙都 必须具有以下三种基本性质： ◼ 防火墙是不同网络之间信息的唯一出入口。 ◼ 防火墙能根据网络安全策略控制（允许、拒绝或监测）出入网络的 信息流，且自身具有较强的抗攻击能力（采用不易攻击的专用系统 或采用纯硬件的处理器芯片）。 ◼ 防火墙本身不能影响正常网络信息的流通。 6

2防火墙能做什么? ¤(1)管理和控制网络流量 ■防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机。 典型情况下,防火墙通过检查报文,监控已经存在的连接,而后根 据报文检查结果和检测到的连接进行过滤以达到该目的。 口①报文检查 口②连接和状态

2.防火墙能做什么？  （1）管理和控制网络流量 ◼ 防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机。 ◼ 典型情况下，防火墙通过检查报文，监控已经存在的连接，而后根 据报文检查结果和检测到的连接进行过滤以达到该目的。  ①报文检查  ②连接和状态 7

8 2.防火墙能做什么? 口(2)认证接入 ■|P地址对,能否就保证通信是合法的? 防火墙可以要求输入一个用户名和密码(通常被称为扩展认证和 802.1x认证)。通过802.1x认证,尝试初始化一个连接的用户在防 火墙允许建立连接之前被提示需要一个用户名和密码,在连接被安 全策略认证成功并授权以后,用户就不再会被要求进行认证。 ■通过实施认证,防火墙可以有额外的办法确保连接是否应该被允许, 即使报文从基于对状态化连接检查的角度来讲是被允许的,但如果 主机不能和防火墙之间认证成功,这个报文仍然会被丢弃

2.防火墙能做什么？  （2）认证接入 ◼ IP地址对，能否就保证通信是合法的？ ◼ 防火墙可以要求输入一个用户名和密码（通常被称为扩展认证和 802.1x认证）。通过802.1x认证，尝试初始化一个连接的用户在防 火墙允许建立连接之前被提示需要一个用户名和密码，在连接被安 全策略认证成功并授权以后，用户就不再会被要求进行认证。 ◼ 通过实施认证，防火墙可以有额外的办法确保连接是否应该被允许， 即使报文从基于对状态化连接检查的角度来讲是被允许的，但如果 主机不能和防火墙之间认证成功，这个报文仍然会被丢弃。 8

9 2.防火墙能做什么? 口(3)作为中间媒介 ■通常认为设备的直接连接会有很大风险,所以通常会采用中间媒介 去保护其资源,从而避免直接连接带来的风险 基于同样的想法,防火墙可以通过配置来担当两台主机通信进程中 的媒介,这个中间媒介进程通常被认为是一个代理。 代理 外网主机 (处理、重建、转发) 内网主机

2.防火墙能做什么？  （3）作为中间媒介 ◼ 通常认为设备的直接连接会有很大风险，所以通常会采用中间媒介 去保护其资源，从而避免直接连接带来的风险。 ◼ 基于同样的想法，防火墙可以通过配置来担当两台主机通信进程中 的媒介，这个中间媒介进程通常被认为是一个代理。 9 外网主机 代理 （处理、重建、转发） 内网主机

10 2.防火墙能做什么? (4)保护资源 ■防火墙的一个很重要的功能就是保护资源免受威胁。 ■这种保护是通过使用接入访问控制规则、状态化报文检查、应用代 理或是结合以上所有方法去阻止被保护的主机被恶意访问或者被恶 意流量感染来实现的 ■防火墙并非永远不会犯错(依靠策略),例如web服务器有漏洞

2.防火墙能做什么？  （4）保护资源 ◼ 防火墙的一个很重要的功能就是保护资源免受威胁。 ◼ 这种保护是通过使用接入访问控制规则、状态化报文检查、应用代 理或是结合以上所有方法去阻止被保护的主机被恶意访问或者被恶 意流量感染来实现的。 ◼ 防火墙并非永远不会犯错（依靠策略），例如Web服务器有漏洞。 10