本文由神谷奇贡献ppt1。第四章防火墙工作原理及应用第四章防火墙工作原理及应用4.1防火墙概念与分类4.1.1防火墙简介4.1.2包过滤防火墙4.1.3代理服务防火墙4.1.4复合防火墙4.1.5个人防火墙第四章4.2防火墙工作原理及应用(续)防火墙体系结构4.2.1.堡垒主机4.2.2.非军事区4.2.3.屏蔽路由器4.2.4双宿主主机体系结构4.2.5主机过滤体系结构4.2.6子网过滤体系结构4.2.7组合体系结构第四章防火墙工作原理及应用(续)4.3防火墙选型与产品简介4.3.1防火墙的局限性4.3.2开发防火墙安全策略4.3.3防火墙选型原则4.3.4典型防火墙简介第四章防火墙工作原理及应用当网络涉及不同的信任级别时(例如内部网,当网络涉及不同的信任级别时(例如内部网,Internet或者网络划分),要保证安全必须安装控制设备.或者网络划分),要保证安全必须安装控制设备.或者网络划分),要保证安全必须安装控制设备此类控制设备几乎总是某种形式的防火墙.防火墙允许授此类控制设备几乎总是某种形式的防火墙.权的数据通过,而拒绝未经授权的数据通信,并记录访问权的数据通过,而拒绝未经授权的数据通信,报告等.由于使用防火墙能增强内部网络的安全性,报告等.由于使用防火墙能增强内部网络的安全性,因此防火墙技术的研究已经成为网络信息安全技术的主导研究方向.本章将介绍防火墙的基本功能,工作原理,分类,方向.本章将介绍防火墙的基本功能,工作原理,分类,体系结构,局限性以及典型防火墙产品.体系结构,局限性以及典型防火墙产品.4.1防火墙概念与分类网络防火墙是隔离内部网与网络防火墙是隔离内部网与Internet是隔离内部网与之间的一道防御系统,这里有一个门,允许之间的一道防御系统,这里有一个门,人们在内部网和开放的Internet之间通信.之间通信.人们在内部网和开放的之间通信访问者必须首先穿越防火墙的安全防线,访问者必须首先穿越防火墙的安全防线,才能接触目标计算机,网络防火墙如图能接触目标计算机,网络防火墙如图4.1所所示.网络防火墙内部网Internet路由器防火墙图4.14.1.1防火墙简介在没有防火墙时,局域网内部的每个节点都暴露给Internet在没有防火墙时,局域网内部的每个节点都暴露给上的其它主机,上的其它主机,此时内部网的安全性要由每个节点的坚固程度来决定,且安全性等同于其中最薄弱的节点.度来决定,且安全性等同于其中最薄弱的节点.使用防火墙防火墙会将内部网的安全性统一到它自身,后,防火墙会将内部网的安全性统一到它自身,网络安全性在防火墙系统上得到加固,在防火墙系统上得到加固,而不是分布在内部网的所有节点上.防火墙把内部网与Internet隔离,仅让安全,核准了的信息防火墙把内部网与隔离,仅让安全,隔离进入,而阻止对内部网构成威胁的数据,它防止黑客更改,进入,而阻止对内部网构成威胁的page1数据,它防止黑客更改,拷贝,毁坏重要信息;同时又不会妨碍人们对Internet的访拷贝,毁坏重要信息;同时又不会妨碍人们对的访问.防火墙的工作原理Internet服务器内部网根据安全策略,从Internet到Intranet的流量受到阻塞根据安全策略,从Intranet到根据安全策略,到Internet的流量以及响应的返回流量允许通过防火墙.返回流量允许通过防火墙.根据安全策略,从Internet来的特殊类型的流量可能被允许到达Intranet图4.2防火墙的基本功能作为一个中心"遏制点",将内部网的安全管理集中起来,全管理集中起来,所有的通信都经过防火墙;只放行经过授权的网络流量,屏蔽非法请只放行经过授权的网络流量,并产生安全报警;求,防止越权访问,并产生安全报警;防止越权访问并产生安全报警能经受得起对其自身的攻击.能经受得起对其自身的攻击.防火墙的基本功能(续)防火墙能为管理人员提供对下列问题的答案:什么人在使用网络什么人在使用网络?他们什么时间,使用了什么网络资源他们什么时间,使用了什么网络资源?他们连接了什么站点了什么站点?他们在网上做什么他们在网上做什么?谁要上网但是没有成功谁要上网,但是没有成功但是没有成功?防火墙工作在OSI参考模型上OSI参考模型OSI参考模型应用层表示层会话层传输层网络层数据链路层物理层防火墙技术应用级网关加密电路级网关包过滤NAT无无防火墙的发展史第一代防火墙技术由附加在边界路由器上的访问控制第一代防火墙技术由附加在边界路由器上的访问控制构成,表ACL(AccessControlTable)构成,采用了包过滤构成技术.技术.第二代代理防火墙即电路层