防火墙技术理论

信息安全师高级上海海盾信息网络安全技术培训中心安全体系结构课程上海海盾信息网络安全技术培训中心防火墙技术邮箱：zhqianlei@126.com主讲人：钱雷上海海盾信息网络安全技术培训中心信息安全师培训简介信息安全师认证简介《信息安全师（高级）》属于国家职业资格体系。经上海市劳动和社会保障局批准，获公安部第三研究所授权，目前，上海海盾信息网络安全技术培训中心是上海市唯一取得《信息安全师》职业培训资质的机构。培训中心简介国家反计算机入侵和防病毒研究中心信息安全培训中心、上海海盾信息网络安全技术培训中心，成立于2005年10月份，是公安部第三研究所所属独立部门。培训就业目标培训毕业学员可在电信企业、银行、保险公司、证券、国内外大中型ISP网络服务提供商、网络系统集成公司、网络安全服务公司、政府部门及其它中小企业等单位担任网络安全服务工程师、网络管理员、网站管理员、信息技术人员、网络安全工程师、网络安全产品售前工程师、网络安全售后工程师、安全产品测试工程师等工作。师资力量培训师资来自公安部第三研究所、国家反计算机入侵与防病毒研究中心、复旦大学、上海交通大学、信息安全科研机构和著名网络信息安全企业。讲师具有丰富的工程技术经验，长期从事信息安全教学、科研和技术开发工作，是国内知名的反入侵、防病毒专家。联系人：陈老师、邓老师联系电话：021-64740243网址：邮箱：chy_sy@126.com防火墙定义及作用定义：防火墙是网络安全的屏障，能极大的提高一个内部网络的安全性；并通过过滤不安全的服务而降低风险。作用：1、防火墙可以强化网络安全策略2、对网络存取和访问进行监控审计3、防止内部信息的外泄上海海盾信息网络安全技术培训中心上海海盾信息网络安全技术培训中心防火墙定义及作用上海海盾信息网络安全技术培训中心防火墙在安全体系中地位•属于控制保护环节•是安全体系架构中最基础的环节•防火墙只是安全体系架构中的一部分防火墙技术包过滤技术网络代理技术地址转换技术防火墙技术－包过滤技术包过滤技术（PacketFilter）是防火墙为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制与操作它只有两个功能：阻止与允许包过滤技术按一个有固定排序的规则链过滤，其中每个规则都检查IP地址、端口、传输方向、分包、协议等内容。检查顺序自上而下，依次匹配；若有规则匹配，则按动作执行，不再检查后面的规则；否则，继续检查。上海海盾信息网络安全技术培训中心防火墙技术－包过滤技术防火墙技术－包过滤技术规则包含内容：源IP地址目标IP地址源TCP／UDP端口号目标TCP／UDP端口号动作：允许和拒绝防火墙技术－包过滤技术包过滤技术优点与缺点：优点：不用改动用户机器的应用程序，它工作在网络层。规则由管理员制定，一般很少改动。缺点：只能判别网络层与传输层的信息。不能分辨那些是“好”包，那些“坏”包。规则数目多了，可能性能会受到影响。缺少审计和报警机制，需要其他设备配合防火墙技术－包过滤技术包过滤技术的发展：动态包过滤技术可以根据用户请求打开相应端口；可以结合身份认证机制，建立临时条目。状态包检测技术（SPI）对每一个数据包的内容进行监视，一旦建立一个会话状态，则此后数据传输都要此会话作为依据。深度包检测技术（DeepPacketInspection)融合入侵检测和攻击防范的功能，结合状态检测的所有功能；能对数据流量迅速完成网络层级别分打，并做出访问控制；对允许的数据流，再检测应用层信息，来寻找已知的攻击。这是一个发展方向防火墙技术－代理技术应用层代理（Proxy）针对每一个特定的应用实现；用户数据包有代理应用去访问不受信任的服务器，不转发用户流量，阻止他们直接连接。可以有http，ftp，dns，telnet，socket4，socket5等效率低，但有较好的访问控制，是安全的防火墙技术。电路级代理它建立在TCP／IP的传输层，只是在通讯建立一个回路，发起方与响应方不建立连接，由代理代为进行数据转发，在这个过程进行用户鉴别与访问控制。它不会针对某个特定的应用层协议上海海盾信息网络安全技术培训中心防火墙技术－代理技术防火墙技术－NAT技术防火墙技术－NAT技术上海海盾信息网络安全技术培训中心防火墙技术－NAT技术上海海盾信息网络安全技术培训中心防火墙技术－NAT工作原理防火墙技术－NAT技术防火墙技术－NAT技术－static防火墙技术－NAT技术－Dynamic防火墙技术－NAT技术－PAT防火墙技术－NAT技术应用一防火墙技术－NAT技术应用二防火墙技术－NAT技术应用三防火墙技术－分类按防火墙软硬件软件防火墙硬件防火墙按防火墙结构单一主机防火墙路由器集成式防火墙分布式防火墙按防火墙应用部署边界防火墙个人防火墙混合防火墙按防火墙技术类型包过滤防火墙状态／动态检测防火墙应用级网关弄防火墙代理服务型防火墙复合型防火墙防火墙技术－部署屏蔽路由器防火墙技术－部署双宿主机防火墙屏蔽主机防火墙防火墙技术－部署屏蔽子网防火墙防火墙技术－部署XP个人防火墙防火墙技术－应用LINUX系统IPTABLES防火墙防火墙技术－局限性不能防范来自内部网络攻击不能防范不通过防火墙连接不能防备新的网络攻击手段防火墙很难防范病毒防火墙技术实现－使用安智防火墙•透明模式•路由模式•NAT模式•DMZ模式•混合模式上海海盾信息网络安全技术培训中心防火墙技术实现－透明模式上海海盾信息网络安全技术培训中心防火墙技术实现－路由模式上海海盾信息网络安全技术培训中心防火墙技术实现－NAT模式上海海盾信息网络安全技术培训中心防火墙技术实现－DMZ模式