信息安全原理应用--防火墙技术与应用.ppt

本文观看结束！！！ * * * * * * * * * * * * * * * * * * * * * * 应用级网关 网关理解应用协议，可以实施更细粒度的访问控制 对每一类应用，都需要一个专门的代理 灵活性不够 * 应用层网关的特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大 * 防火墙相关技术 静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术 * 电路级网关防火墙 拓扑结构同应用程序网关相同 本质上，也是一种代理服务器，接收客户端连接请求，代理客户端完成网络连接 在客户和服务器间中转数据 通用性强 * 电路级网关防火墙特点 电路级网关是一个通用代理服务器，它工作于OSI互联模型的会话层或是TCP/IP协议的TCP层。它适用于多个协议，但它不能识别在同一个协议栈上运行的不同的应用，当然也就不需要对不同的应用设置不同的代理模块，但这种代理需要对客户端作适当修改。 * 防火墙相关技术 静态包过滤 状态监测 应用程序网关(代理服务器) 电路级网关 深度包检查技术 * 深度包检测技术 与只是检查数据包的包头部分的浅层包检查技术（通常称为状态监测技术）不同，深度包检查（deep packet inspection，DPI）也称为完全包检查（complete packet inspection）和信息提取（Information extraction）。 DPI技术组合了入侵检测系统、入侵保护系统及传统状态监测防火墙的功能。这种组合使它能够检测单独的IDS、IPS或者状态监测防火墙不能检测的攻击行为。 * 其他防火墙技术 网络地址转换 热恢复策略 流量控制 IP和MAC绑定 身份鉴别 负载均衡 内容安全 加密 审计 防火墙的免疫设计 分布式防火墙 * 防火墙的发展趋势 高速 应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，算法也是关键。 多功能化 比如NAT、VPN(IPSec)、IDS，以及一些鉴别和访问控制技术 安全 防火墙自身的安全性和稳定性 * 参考文献 王昭，袁春编著，信息安全原理与应用，电子工业出版社，北京，2010，1 William Stallings, Cryptography and network security: principles and practice, Second Edition 防火墙原理与实用技术，北京启明星辰有限公司，电子工业出版社，北京， 2002，1 William R Cheswick，戴宗坤译，防火墙与因特网安全,机械工业出版社，北京，2000，4 Terry William Ogletree，防火墙原理与实践，电子工业出版社，北京，2001，2 其他关于防火墙技术的书籍和站点 …… 谢 谢 欣 赏！ * * * * * * * * * * * * * * * * * * * 电子工业出版社，《信息安全原理与应用》，2010.1 ?版权所有,引用请注明出处 * 信息安全原理与应用 第十二章 防火墙技术及应用 本章由王昭主写 * 讨论议题 防火墙的基本概念 防火墙的体系结构 防火墙相关技术 * 防火墙定义 防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称 . 一个好的防火墙具备: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透免疫 * 防火墙的访问控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为 * 防火墙的作用 防火墙对企业内部网实现了集中的安全管理 防火墙能防止非授权用户进入内部网络。 防火墙可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换NAT的地点 可以实现重点网段的分离 防火墙是审计和记录网络的访问和使用的最佳地方。 * 防火墙的局限性 限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。 目前防火墙对于来自网络内部的攻击还无能为力。 防火墙不能防范不经过防火墙的攻击。 可能带来传输延迟、瓶颈及单点失效。 防火墙不能有效地防范数据驱动式攻击。 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 * 防火墙安全策略 在构筑防火墙之前，需要制定一套完整有效的安全战略 网络服务访问策略 一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。 防火墙设计策略 一切