1防火墙是什么? 口不管什么种类的防火墙,不论其采用何种技术手段,防火墙都 必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口。 ■防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的 信息流,且自身具有较强的抗攻击能力(采用不易攻击的专用系统 或采用纯硬件的处理器芯片)。 ■防火墙本身不能影响正常网络信息的流通
1.防火墙是什么? 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都 必须具有以下三种基本性质: ◼ 防火墙是不同网络之间信息的唯一出入口。 ◼ 防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的 信息流,且自身具有较强的抗攻击能力(采用不易攻击的专用系统 或采用纯硬件的处理器芯片)。 ◼ 防火墙本身不能影响正常网络信息的流通。 6
2防火墙能做什么? ¤(1)管理和控制网络流量 ■防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机。 典型情况下,防火墙通过检查报文,监控已经存在的连接,而后根 据报文检查结果和检测到的连接进行过滤以达到该目的。 口①报文检查 口②连接和状态
2.防火墙能做什么? (1)管理和控制网络流量 ◼ 防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机。 ◼ 典型情况下,防火墙通过检查报文,监控已经存在的连接,而后根 据报文检查结果和检测到的连接进行过滤以达到该目的。 ①报文检查 ②连接和状态 7
8 2.防火墙能做什么? 口(2)认证接入 ■|P地址对,能否就保证通信是合法的? 防火墙可以要求输入一个用户名和密码(通常被称为扩展认证和 802.1x认证)。通过802.1x认证,尝试初始化一个连接的用户在防 火墙允许建立连接之前被提示需要一个用户名和密码,在连接被安 全策略认证成功并授权以后,用户就不再会被要求进行认证。 ■通过实施认证,防火墙可以有额外的办法确保连接是否应该被允许, 即使报文从基于对状态化连接检查的角度来讲是被允许的,但如果 主机不能和防火墙之间认证成功,这个报文仍然会被丢弃
2.防火墙能做什么? (2)认证接入 ◼ IP地址对,能否就保证通信是合法的? ◼ 防火墙可以要求输入一个用户名和密码(通常被称为扩展认证和 802.1x认证)。通过802.1x认证,尝试初始化一个连接的用户在防 火墙允许建立连接之前被提示需要一个用户名和密码,在连接被安 全策略认证成功并授权以后,用户就不再会被要求进行认证。 ◼ 通过实施认证,防火墙可以有额外的办法确保连接是否应该被允许, 即使报文从基于对状态化连接检查的角度来讲是被允许的,但如果 主机不能和防火墙之间认证成功,这个报文仍然会被丢弃。 8
9 2.防火墙能做什么? 口(3)作为中间媒介 ■通常认为设备的直接连接会有很大风险,所以通常会采用中间媒介 去保护其资源,从而避免直接连接带来的风险 基于同样的想法,防火墙可以通过配置来担当两台主机通信进程中 的媒介,这个中间媒介进程通常被认为是一个代理。 代理 外网主机 (处理、重建、转发) 内网主机
2.防火墙能做什么? (3)作为中间媒介 ◼ 通常认为设备的直接连接会有很大风险,所以通常会采用中间媒介 去保护其资源,从而避免直接连接带来的风险。 ◼ 基于同样的想法,防火墙可以通过配置来担当两台主机通信进程中 的媒介,这个中间媒介进程通常被认为是一个代理。 9 外网主机 代理 (处理、重建、转发) 内网主机
10 2.防火墙能做什么? (4)保护资源 ■防火墙的一个很重要的功能就是保护资源免受威胁。 ■这种保护是通过使用接入访问控制规则、状态化报文检查、应用代 理或是结合以上所有方法去阻止被保护的主机被恶意访问或者被恶 意流量感染来实现的 ■防火墙并非永远不会犯错(依靠策略),例如web服务器有漏洞
2.防火墙能做什么? (4)保护资源 ◼ 防火墙的一个很重要的功能就是保护资源免受威胁。 ◼ 这种保护是通过使用接入访问控制规则、状态化报文检查、应用代 理或是结合以上所有方法去阻止被保护的主机被恶意访问或者被恶 意流量感染来实现的。 ◼ 防火墙并非永远不会犯错(依靠策略),例如Web服务器有漏洞。 10