提纲 ◆防火墙概述 ◆防火墙分类 ◆防火墙体系结构 ◆防火墙硬件技术 ◆防火墙软件技术 ◆防火墙分级 ◆防火墙功能 ◆防火墙性能 ◆防火墙安全性 ◆防火墙部署 ◆防火墙管理 ◆防火墙可靠性 ◆防火墙典型应用 ◆防火墙技术发展展望 ◆怎样选择防火墙 27
27
防火墙体系结构 防火墙的体系结构一般有以下几种: 1.包过滤型防火墙 2.双宿网关防火墙 3.屏蔽主机防火墙 4.屏蔽子网防火墙 5.其它结构的防火墙 28
28 防火墙的体系结构一般有以下几种: 1. 包过滤型防火墙 2. 双宿网关防火墙 3. 屏蔽主机防火墙 4. 屏蔽子网防火墙 5. 其它结构的防火墙 防火墙体系结构
包过滤型防火墙 ·包过滤型防火墙往往可以用一台过滤路由器来实现对所接 收的每个数据包做允许拒绝的决定。路由器审查每个数据 包,以便确定其是否与某一条包过滤规则匹配。过滤规则 基于IP包头信息。 ·包头信息中包括IP源地址、IP目标端地址、内装协议( TCP,UDP,ICMP或IP Tunnel)、TCP/UDP目标端口、ICMP消 息类型以及TCP包头中的ACK位。包的进入接口和出接口如 果有匹配,并且规则允许该数据包通过,该数据包会按照 路由表转发。如果匹配规则拒绝,则该数据包就会被丢弃 。如果没有匹配规则,用户配置的缺省参数会决定是转发 还是丢弃数据包。 29
29 • 包过滤型防火墙往往可以用一台过滤路由器来实现对所接 收的每个数据包做允许拒绝的决定。路由器审查每个数据 包,以便确定其是否与某一条包过滤规则匹配。过滤规则 基于IP包头信息。 • 包头信息中包括IP源地址、IP目标端地址、内装协议( TCP,UDP,ICMP或IP Tunnel)、TCP/UDP目标端口、ICMP消 息类型以及TCP包头中的ACK位。包的进入接口和出接口如 果有匹配,并且规则允许该数据包通过,该数据包会按照 路由表转发。如果匹配规则拒绝,则该数据包就会被丢弃 。如果没有匹配规则,用户配置的缺省参数会决定是转发 还是丢弃数据包。 包过滤型防火墙
包过滤型防火墙 Internet 根据站点的安全 策略来决定是否 过滤路由器 转发数据包 内部网铭 30
30 包过滤型防火墙
包过滤型防火墙 优点 ·处理包的速度快。过滤路由器为用户提供了一种透明的服 务,用户不能改变客户端程序或改变自己的行为。 ·实现包过滤几乎不再需要费用(或极少的费用),因为这 些特点都包含在标准的路由器软件中。 ·包过滤路由器对用户和应用来讲都是透明的,所以不必对 用户进行特殊的培训,也不必在每台主机上安装特定的软 件。 缺点 ·防火墙的维护比较困难。定义数据包过滤会比较复杂, 31
31 优点 • 处理包的速度快。过滤路由器为用户提供了一种透明的服 务,用户不能改变客户端程序或改变自己的行为。 • 实现包过滤几乎不再需要费用(或极少的费用),因为这 些特点都包含在标准的路由器软件中。 • 包过滤路由器对用户和应用来讲都是透明的,所以不必对 用户进行特殊的培训,也不必在每台主机上安装特定的软 件。 缺点 • 防火墙的维护比较困难。定义数据包过滤会比较复杂, 包过滤型防火墙