一、防火墙概述 五、防火墙的特点 1、广泛的服务支持:通过将动态的、应用层的 过滤能力和认证相结合,可实现WWW浏览器、 HTTP服务器、FTP等 2、对私有数据的加密支持:保证通过 Internet 进行虚拟私人网络和商务活动的安全; 3、客户端认证:只允许指定的用户访问内部网 络或选择服务:企业本地网与分支机构、商业 伙伴和移动用户间安全通信的附加部分;
11 五、防火墙的特点 一、防火墙概述 1、广泛的服务支持:通过将动态的、应用层的 过滤能力和认证相结合,可实现WWW浏览器、 HTTP服务器、 FTP等; 2、对私有数据的加密支持:保证通过Internet 进行虚拟私人网络和商务活动的安全; 3、客户端认证:只允许指定的用户访问内部网 络或选择服务:企业本地网与分支机构、商业 伙伴和移动用户间安全通信的附加部分;
一、防火墙概述 五、防火墙的特点 4、反欺骗:欺骗是从外部获取网络访问权的 常用手段,它使数据包好似来自网络内部。 防火墙能监视这样的数据包并能扔掉它们; 5、C/S模式和跨平台支持:能使运行在一平 台的管理模块控制运行在另一平台的监视模 块
12 五、防火墙的特点 一、防火墙概述 4、反欺骗:欺骗是从外部获取网络访问权的 常用手段,它使数据包好似来自网络内部。 防火墙能监视这样的数据包并能扔掉它们; 5、C/S模式和跨平台支持:能使运行在一平 台的管理模块控制运行在另一平台的监视模 块
网络政策 1、服务访问政策 服务访问政策是整个机构信息安全政策的延 伸,既要可靠又要切合实际。 个典型的政策可以不允许从 Internet访问网 点,但要允许从网点访问 Internet 另一个典型政策是允许从 Internet进行某些访 问,但是或许只许可访问经过选择的系统, 如Web服务器和电子邮件服务器 13
13 1、服务访问政策 二、网络政策 服务访问政策是整个机构信息安全政策的延 伸,既要可靠又要切合实际。 一个典型的政策可以不允许从Internet访问网 点,但要允许从网点访问Internet。 另一个典型政策是允许从Internet进行某些访 问,但是或许只许可访问经过选择的系统, 如Web服务器和电子邮件服务器
2、防火墙设计政策 防火墙一般实施两个基本设计方针之 1.“没有明确允许的都是被禁止的”,即拒绝一切未予特 许的东西。 2.“没有明确禁止的都是被允许的”;也即是允许一切未 被特别拒绝的东西 拒绝 允许 允许 拒绝
14 拒绝 允许 2、防火墙设计政策 防火墙一般实施两个基本设计方针之一: 1. “没有明确允许的都是被禁止的” ,即拒绝一切未予特 许的东西。 2. “没有明确禁止的都是被允许的”;也即是允许一切未 被特别拒绝的东西 允许 拒绝
防火墙的体系结构 1)屏蔽路由器( Screened router) 2)双宿主机网关 Dual Homed Host Gateway 3)屏蔽主机防火墙; Screened gateway 4)屏蔽子网防火墙 Screened subnet
15 六、防火墙的体系结构 1)屏蔽路由器(Screened Router) 2)双宿主机网关; Dual Homed Host Gateway 3)屏蔽主机防火墙; Screened Gateway 4)屏蔽子网防火墙。 Screened Subnet