第9章防火墙 91.3防火墙的功能 防火墙是网络安全的屏障 ·2.防火墙可以强化网络安全策略 3.网络存取和访问监控审计 4.防止内部信息的外泄 5.除了安全作用,防火墙还支持ⅤPN BACK
第9 章 防火墙 9.1.3 防火墙的功能 • 1.防火墙是网络安全的屏障 • 2.防火墙可以强化网络安全策略 • 3.网络存取和访问监控审计 • 4.防止内部信息的外泄 • 5.除了安全作用,防火墙还支持VPN
第9章防火墙 防火墙是网络安全的屏障 ·一个防火墙(作为阻塞点、控制点)能极大地 提高一个内部网络的安全性,并通过过滤不安 全的服务而降低风险。由于只有经过精心选择 的应用协议才能通过防火墙,所以网络环境变 得更安全。如防火墙可以禁止诸如NFS的不安 全协议进出受保护网络,这样外部的攻击者就 不可能利用这些脆弱的协议来攻击内部网络 防火墙同时可以保护网络免受基于路由的攻击 如mP选项中的源路由攻击和ICMP重定向中的重 定向路径。防火墙可以拒绝所有以上类型攻击 的报文并通知防火墙管理员。 BACK
第9 章 防火墙 防火墙是网络安全的屏障 • 一个防火墙(作为阻塞点、控制点)能极大地 提高一个内部网络的安全性,并通过过滤不安 全的服务而降低风险。由于只有经过精心选择 的应用协议才能通过防火墙,所以网络环境变 得更安全。如防火墙可以禁止诸如NFS的不安 全协议进出受保护网络,这样外部的攻击者就 不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路由的攻击, 如IP选项中的源路由攻击和ICMP重定向中的重 定向路径。防火墙可以拒绝所有以上类型攻击 的报文并通知防火墙管理员
第9章防火墙 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置, 能将所有安全软件(如口令、加密、身 份认证、审计等)配置在防火墙上。与 将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更绎济。例如在 冈络访问时,系统和其他的身份认证系 统完全可以不必分散在各个主机上,而 集中在防火墙身上 BACK
第9 章 防火墙 防火墙可以强化网络安全策略 • 通过以防火墙为中心的安全方案配置, 能将所有安全软件(如口令、加密、身 份认证、审计等)配置在防火墙上。与 将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更经济。例如在 网络访问时,系统和其他的身份认证系 统完全可以不必分散在各个主机上,而 集中在防火墙身上
第9章防火墙 网络存取和访问监控审计 如果所有的访问都经过防火墙,那么,防火墙 就能记录下这些访问并作出日志记录,为管理 人员提供诸如谁在使用网络,他们在网上做什 么,他们上网时去了何处和上网有没有成功等 系列问题的答案。当发生可疑动作时,防火 墙能进行适当的报警,并提供网络是否受到监 测和攻击的详细信息。另外,收集一个网络的 使用和误用情况也是非常重要的。首先是可以 清楚防火墙是否能够抵挡攻击者的探测和攻击, 并且清楚防火墙的控制是否充足。而网络使用 中针计对网络需求分析和威胁分析等而言也是 常重要的。 BACK
第9 章 防火墙 网络存取和访问监控审计 • 如果所有的访问都经过防火墙,那么,防火墙 就能记录下这些访问并作出日志记录,为管理 人员提供诸如谁在使用网络,他们在网上做什 么,他们上网时去了何处和上网有没有成功等 一系列问题的答案。当发生可疑动作时,防火 墙能进行适当的报警,并提供网络是否受到监 测和攻击的详细信息。另外,收集一个网络的 使用和误用情况也是非常重要的。首先是可以 清楚防火墙是否能够抵挡攻击者的探测和攻击, 并且清楚防火墙的控制是否充足。而网络使用 中针计对网络需求分析和威胁分析等而言也是 非常重要的
第9章防火墙 防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现对内部网 重点网段的隔离,从而限制了局部重点或敏感网络安 全问题对全局网络造成的影响。再者,隐私是内部网 络非常关心的问题,一个内部网络中不引人注意的细 节可能包含了有关安全的线索而引起外部攻击者的兴 趣,甚至因此而暴露了内部网络的某些安全漏洞。使 用防火墙就可以隐蔽那些透露内部细节如 Finger、DNS 等服务。 Finger显示了主机的所有用户的注册名、真名 最后登录时间和使用shel类型等。但是 Finger显示的信 息非常容易被攻击者所获悉,攻击者可以知道一个系 统使用的频繁程度,这个系统是否有用户正在连线上 网,这个系统是否在被攻击时引起注意等等。防火墙 可以同样阻塞有关内部网络中的DNS信息,这样一台 主机的域名和IP地址就不会被外界所看到。 BACK
第9 章 防火墙 防止内部信息的外泄 • 通过利用防火墙对内部网络的划分,可实现对内部网 重点网段的隔离,从而限制了局部重点或敏感网络安 全问题对全局网络造成的影响。再者,隐私是内部网 络非常关心的问题,一个内部网络中不引人注意的细 节可能包含了有关安全的线索而引起外部攻击者的兴 趣,甚至因此而暴露了内部网络的某些安全漏洞。使 用防火墙就可以隐蔽那些透露内部细节如Finger、DNS 等服务。Finger显示了主机的所有用户的注册名、真名, 最后登录时间和使用shell类型等。但是Finger显示的信 息非常容易被攻击者所获悉,攻击者可以知道一个系 统使用的频繁程度,这个系统是否有用户正在连线上 网,这个系统是否在被攻击时引起注意等等。防火墙 可以同样阻塞有关内部网络中的DNS信息,这样一台 主机的域名和IP地址就不会被外界所看到