《计算机网络管理与安全技术》课程教学资源（PPT课件）第7章 防火墙（李艇）

网络管理与安全技术 Netotr3 ioo Switche ico

网络管理与安全技术 李 艇 02w123

本章学习要求 ●理解:防火墙基本撬念 学握:防火墙技术 熟悉:防火墙体系结构及其应用 熟悉:防火墙的类型

本章学习要求 l 理解：防火墙基本概念 l 掌握：防火墙技术 l 熟悉：防火墙体系结构及其应用 l 熟悉：防火墙的类型

第7章防火墙 防火墙作为网络安全的一种防护手段得 到了广泛的应用,已成为各企业网络中实 施安全保护的核心,安全管理员可以通过 其选择性地拒绝进出网络的数据流量,增 强了对网络的保护作用

第7章 防火墙 防火墙作为网络安全的一种防护手段得 到了广泛的应用，已成为各企业网络中实 施安全保护的核心，安全管理员可以通过 其选择性地拒绝进出网络的数据流量，增 强了对网络的保护作用

7.1防火墙基本概念 防火墙是位于两个信任程度不同的网络之间的软件或硬 件设备的组合,它对两个网络之间的通信进行控制,通 过强制实施统一的安全略,防止对重要信息资源的非 法存取和访问,以达到保护系统安全的目的。 防火墙通常是运行在一台单独计算机之上的一个特别的 服务软件,用来保护由许多台计算机组成的内部网络, 可以识别并屏蔽非法请求,有效防止跨越权限的数据访 问。防火墙可以是非常简单的过滤器,也可能是精心配 置的网关。但都可用于监测并过滤所有内部网和外部网 之间的信息交换。 防火墙保护着内部网络的敏感数据不被窃取和破坏,并 记录内外通信的有关状态信息日志,如通信发生的时间 和进行的操作等等。新一代的防火墙甚至可以阻止内部 人员将敏感数据向外传输,并对网络数据的流动实现有 效地管理

• 防火墙是位于两个信任程度不同的网络之间的软件或硬 件设备的组合，它对两个网络之间的通信进行控制，通 过强制实施统一的安全策略，防止对重要信息资源的非 法存取和访问，以达到保护系统安全的目的。 • 防火墙通常是运行在一台单独计算机之上的一个特别的 服务软件，用来保护由许多台计算机组成的内部网络， 可以识别并屏蔽非法请求，有效防止跨越权限的数据访 问。防火墙可以是非常简单的过滤器，也可能是精心配 置的网关。但都可用于监测并过滤所有内部网和外部网 之间的信息交换。 • 防火墙保护着内部网络的敏感数据不被窃取和破坏，并 记录内外通信的有关状态信息日志，如通信发生的时间 和进行的操作等等。新一代的防火墙甚至可以阻止内部 人员将敏感数据向外传输，并对网络数据的流动实现有 效地管理。 7.1 防火墙基本概念

防火墙 你的电脑 监听端口 服务器 因特网 入主页眼务器 13 WindowsTTEJ 件其 2-P CAnvert 区x-木马惺序 防火墙示意图

防火墙示意图

UF3500/3100防火墙应用 三端口NAT模式 Internet 路由器 墙UF3500/3100 PC 集线器 wWW服务器 Mai1服务器 FTP服务器

UF3500/3100防火墙应用 三端口NAT模式 交换机 路由器 集线器 防火墙UF3500/3100 WWW 服务器 Mail服务器 PC PC FTP 服务器

7.11防火墙技术发展状况 自从1986年美国 Digita公司在 nternet上安装了全球 第一个商用防火墙系统后,防火墙技术得到了飞速的发 展。许多公司推出了功能不同的防火墙系统产品。 第一代防火墙,又称为包过滤防火墙,其主要通过对数 据包源地址、目的地址、端口号等参数来决定是否允许 该数据包通过或进行转发,但这种防火墙很难抵御IP地 址欺骗等攻击,而且审计功能很差。 第二代防火墙,也称代理服务器,它用来提供网络服务 级的控制,起到外部网络向被保护的内部网络申请服务 时中间转接作用,这种方法可以有效地防止对内部网络 的直接攻击,安全性较高。 第三代防火墙有效地提高了防火墙的安全性,称为状态 监控功能防火墙,它可以对毎一层的数据包进行检测和 监控

7.1.1 防火墙技术发展状况 ◼ 自从1986年美国Digital公司在Internet上安装了全球 第一个商用防火墙系统后，防火墙技术得到了飞速的发 展。许多公司推出了功能不同的防火墙系统产品。 ◼ 第一代防火墙，又称为包过滤防火墙，其主要通过对数 据包源地址、目的地址、端口号等参数来决定是否允许 该数据包通过或进行转发，但这种防火墙很难抵御IP地 址欺骗等攻击，而且审计功能很差。 ◼ 第二代防火墙，也称代理服务器，它用来提供网络服务 级的控制，起到外部网络向被保护的内部网络申请服务 时中间转接作用，这种方法可以有效地防止对内部网络 的直接攻击，安全性较高。 ◼ 第三代防火墙有效地提高了防火墙的安全性，称为状态 监控功能防火墙，它可以对每一层的数据包进行检测和 监控

7.11防火墙技术发展状况 第四代防火墙:1992年,开发出了基于动 态包过滤技术的第四代防火墙。 ■第五代防火墙:1998年,NA公司推出了 种自适应代理技术,可以称之为第五代 防火墙

◼ 第四代防火墙：1992年，开发出了基于动 态包过滤技术的第四代防火墙。 ◼ 第五代防火墙：1998年，NAI公司推出了 一种自适应代理技术，可以称之为第五代 防火墙。 7.1.1 防火墙技术发展状况

7.1.2所火墙的任务 上量, 防火墙应能够确保满足以下四个目标: 1.实现安全策略 防火墙的主要目的是强制执行人们所设计的安全 策略。比如,安全策略中只需对Ema服务器的 SMTP流量作些限制,那么就要在防火墙中直接 设置并执行这一策略。 防火墙一般实施两个基本设计策略之 口n凡是没有明确表示允许的就要被禁止; 凡是没有明确表示禁止的就要被允许

7.1.2 防火墙的任务 防火墙应能够确保满足以下四个目标 ： 1. 实现安全策略 防火墙的主要目的是强制执行人们所设计的安全 策略。比如，安全策略中只需对E-mail服务器的 SMTP流量作些限制，那么就要在防火墙中直接 设置并执行这一策略。 防火墙一般实施两个基本设计策略之一 ： ◼ n 凡是没有明确表示允许的就要被禁止； ◼ n 凡是没有明确表示禁止的就要被允许

7.1.2防火墙的任务 2.创建检查点 防火墙在内部网络和公网间建立一个检查 点 通过检查点防火墙设备可以监视、过滤和 检查所有进来和出去的流量。 网络管理员可以在检查点上集中实现安全 目的

2. 创建检查点 ◼ 防火墙在内部网络和公网间建立一个检查 点。 ◼ 通过检查点防火墙设备可以监视、过滤和 检查所有进来和出去的流量。 ◼ 网络管理员可以在检查点上集中实现安全 目的。 7.1.2 防火墙的任务