《计算机网络系统集成》第9 章 防火墙

第9章防火墙 第9章防火墙 9,1防火墙的基础知迟 9,2防火墙的基本技术原理及其配置 93防火墙的主要性能指标

第9 章 防火墙 9.1 防火墙的基础知识 9.2 防火墙的基本技术原理及其配置 9.3 防火墙的主要性能指标 第9章 防火墙

第9章防火墙 9,1防火墙的基础知识 91.1防火墙的基础知识 912防火墙的分类 91.3防火墙的功能 BACK

第9 章 防火墙 9.1 防火墙的基础知识 • 9.1.1 防火墙的基础知识 • 9.1.2 防火墙的分类 • 9.1.3 防火墙的功能

第9章防火墙 91.1防火墙的基础知识 1.防火墙概述 2.防火墙的基本概念 3,防火墙的设计原则 BACK

第9 章 防火墙 9.1.1 防火墙的基础知识 1．防火墙概述 2．防火墙的基本概念 3．防火墙的设计原则

第9章防火墙 1.防火墙概述 ·防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应 用性安全技术,越来越多地应用于专用网络与公用网络的互联环境 中。 Internet的日益普及,互联网上的浏览访问,不仅使数据传输量 增加,网络被攻击的可能性增大,而且由于 Internet的开放性,网络 安全防护的方式发生了根本变化,使得安全问题更为复杂。传统的 网络强调统一而集中的安全管理和控制,可采取加密、认证、访问 控制、审计以及日志等多种技术手段,且它们的实施可由通信双方 共同完成,因而有可能因为一方的失误或数据传送过程中被人窃听 而导致安全失效。由于 Internet网络结构错综复杂,操作系统各异 因此,安全防护方式也截然不同。 Internet的安全技术涉及传统的网 络安全技术和分布式网络安全技术,且主要是用来解决如何利用 Internet进行安全通信,同时保护内部网络免受外部攻击。防火墙是 种综合性的技术,涉及到计算机网络技术、密码技术、安全技术 软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全 操作系统等多方面。 BACK

第9 章 防火墙 １. 防火墙概述 • 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应 用性安全技术，越来越多地应用于专用网络与公用网络的互联环境 中。Internet的日益普及，互联网上的浏览访问，不仅使数据传输量 增加，网络被攻击的可能性增大，而且由于Internet的开放性，网络 安全防护的方式发生了根本变化，使得安全问题更为复杂。传统的 网络强调统一而集中的安全管理和控制，可采取加密、认证、访问 控制、审计以及日志等多种技术手段，且它们的实施可由通信双方 共同完成，因而有可能因为一方的失误或数据传送过程中被人窃听 而导致安全失效。由于Internet网络结构错综复杂，操作系统各异， 因此，安全防护方式也截然不同。Internet的安全技术涉及传统的网 络安全技术和分布式网络安全技术，且主要是用来解决如何利用 Internet进行安全通信，同时保护内部网络免受外部攻击。防火墙是 一种综合性的技术，涉及到计算机网络技术、密码技术、安全技术、 软件技术、安全协议、网络标准化组织（ISO）的安全规范以及安全 操作系统等多方面

第9章防火墙 2防火墙的基本概念 所谓“防火墙”,是指一种将内部网和公众访问 冈( Internet)分开的方法,实际上是一种隔离技 术,是安全网络(被保护的内网)与非安全网络 (外部网络)之间的一道屏障,以预防发生不可 预测的、潜在的网络入侵,就像我国古代的秦长 城,用于抵御外敌的侵略 防火墙的英文名称是 firewall,防火墙在网络拓 扑结构中用图标表示为 BACK

第9 章 防火墙 2. 防火墙的基本概念 • 所谓“防火墙” ，是指一种将内部网和公众访问 网（Internet）分开的方法，实际上是一种隔离技 术，是安全网络（被保护的内网）与非安全网络 （外部网络）之间的一道屏障，以预防发生不可 预测的、潜在的网络入侵，就像我国古代的秦长 城，用于抵御外敌的侵略。 • 防火墙的英文名称是Firewall，防火墙在网络拓 扑结构中用图标表示为

第9章防火墙 3.防火墙的设计原则 1、除非明确允许,否则将禁止某种服务; ·2、除非明确禁止,否则将允许某种服务 前者在默认情况下禁止所有的服务,后者在 默认情况下允许所有的服务,除非被网络管 理员根据实际需要进行具体改变 BACK

第9 章 防火墙 • 1、除非明确允许，否则将禁止某种服务； • 2、除非明确禁止，否则将允许某种服务。 • 前者在默认情况下禁止所有的服务，后者在 默认情况下允许所有的服务，除非被网络管 理员根据实际需要进行具体改变。 3. 防火墙的设计原则

第9章防火墙 91.2防火墙的分类 1.包过滤型 2.应用代理型 3.防火墙的组成 BACK

第9 章 防火墙 9.1.2 防火墙的分类 1．包过滤型 2．应用代理型 3．防火墙的组成

第9章防火墙 1.包过滤型防火墙 包过滤型防火墙概述 包过滤型防火墙的分类 包过滤型防火墙的优点 包过滤型防火墙的缺点 BACK

第9 章 防火墙 1．包过滤型防火墙 • 包过滤型防火墙概述 • 包过滤型防火墙的分类 • 包过滤型防火墙的优点 • 包过滤型防火墙的缺点

第9章防火墙 包过滤型防火墙概述 包过滤( Packet filtering)型防火墙工作在OS网络参考 模型的网络层和传输层,它根据数据包头源地址、目的 地址、端口号和协议类型等标志确定是否允许通过。只 有满足过滤条件的数据包才被转发到相应的目的地,其 余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所 以通用,是因为它不是针对各个具体的网络服务采取特 殊的处理方式,而是适用于所有网络服务; 之所以廉价,是因为大多数路由器都提供数据包过滤功 能,所以这类防火墙多数是由路由器集成的; 之所以有效,是因为它在很大程度上满足了绝大多数企 业安全的要求 BACK

第9 章 防火墙 包过滤型防火墙概述 包过滤（Packet filtering）型防火墙工作在OSI网络参考 模型的网络层和传输层，它根据数据包头源地址、目的 地址、端口号和协议类型等标志确定是否允许通过。只 有满足过滤条件的数据包才被转发到相应的目的地，其 余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所 以通用，是因为它不是针对各个具体的网络服务采取特 殊的处理方式，而是适用于所有网络服务； 之所以廉价，是因为大多数路由器都提供数据包过滤功 能，所以这类防火墙多数是由路由器集成的； 之所以有效，是因为它在很大程度上满足了绝大多数企 业安全的要求

第9章防火墙 包过滤型防火墙的分类 1)第一代静态包过滤类型防火墙 (2)第二代动态包过滤类型防火墙 BACK

第9 章 防火墙 包过滤型防火墙的分类 （1）第一代静态包过滤类型防火墙 （2）第二代动态包过滤类型防火墙