幼儿简笔画

Firewall 防火墙,什么是防火墙 防火墙产品的发展历程 防火墙种类与体系结构 防火墙技术介绍,Firewall专题,什么是防火墙产品发展历程防火墙种类防火墙功能,传统的防火墙概念,什么是防火墙产品发展历程防火墙种类防火墙功能,概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分,I T 领域使用的防火墙概念,什么是防火墙产品发展历程防火墙种类防火墙功能,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,什么是防火墙产品发展历程防火墙种类防火墙功能,基于路由器的防火墙,防火墙的发展历程,将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了,利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号、IP旗标及其它网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境,是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。,防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计透明性好，易于使用,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,什么是防火墙产品发展历程防火墙种类防火墙功能,防火墙的种类,分组过滤/包过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。状态检查：状态检测防火墙工作于网络层，与包过滤防火墙相比，状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址，目的IP地址，源端口，目的端口和通讯协议等。与包过滤防火墙不同的是，状态检测防火墙是基于会话信息做出决策的，而不是包的信息。应用代理（Application Proxy）：也叫应用网关（Application Gateway）,它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。,什么是防火墙产品发展历程防火墙种类防火墙功能,分组过滤原理,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,控制策略,数据包,过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理,分组过滤判断信息,什么是防火墙产品发展历程防火墙种类防火墙功能,什么是防火墙产品发展历程防火墙种类防火墙功能,HTTP 例子,什么是防火墙产品发展历程防火墙种类防火墙功能,Telnet 例子,什么是防火墙产品发展历程防火墙种类防火墙功能,SMTP 例子,什么是防火墙产品发展历程防火墙种类防火墙功能,状态检查包过滤防火墙,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,状态检查防火墙的包过滤器通过建立外向TCP连接字典，加强了处理TCP通信规则,控制策略,状态检查,HTTP 例子,什么是防火墙产品发展历程防火墙种类防火墙功能,Web 服务器 ：TCP2:80,如果是简单包过滤对于进入的包必须开放以下规则所有源 TCP端口为80，IP地址任意，目标 内部IP,端口号大于1024。容易受到攻击；,1024-16383中的临时端口,HTTP 例子,什么是防火墙产品发展历程防火墙种类防火墙功能,Web 服务器 ：TCP2:80,状态检查包过滤,1024-16383中的临时端口,进入的数据包，目标为内部的 1024 -16383之间端口且它的信息与连接字典里某一条记录匹配，才允许进入,1993年，Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品,什么是防火墙产品发展历程防火墙种类防火墙功能,应用级代理/应用级网关,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过,控制策略,分组过滤判断信息,应用代理判断信息,什么是防火墙产品发展历程防火墙种类防火墙功能,可以看看客户端 IE 例子,什么是防火墙产品发展历程防火墙种类防火墙功能,什么是防火墙产品发展历程防火墙种类防火墙功能,筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网,防火墙体系结构,什么是防火墙产品发展历程防火墙种类防火墙功能,筛选路由器,内部网络,外部网络,包过滤器,进行包过滤,什么是防火墙产品发展历程防火墙种类防火墙功能,多宿主主机,内部网络,外部网络,禁止内外网络之间直接通信,双宿主主机,通过应用代理 通过登陆到双宿主主机上获得服务,缺点：如何保护双宿主主机本身的安全,所有的通信必须经过双宿主主机,什么是防火墙产品发展历程防火墙种类防火墙功能,被屏蔽主机,堡垒主机,进行规则配置，只允许外部主机与堡垒主机通讯,对内部其他主机的访问必须经过堡垒主机,缺点： 堡垒主机与其他主机在同一个子网 一旦包过滤路由器被攻破或被越过，整个内网和 堡垒主机之间就再也没有任何阻挡。,不允许外部主机直接访问除堡垒主机之外的其他主机,包过滤路由器,考虑一下安全性？,什么是防火墙产品发展历程防火墙种类防火墙功能,被屏蔽子网,内部网络,外部网络,堡垒主机,内部筛选路由器,外部筛选路由器,禁止内外网络直接进行通讯,内外部网络之间的通信都经过堡垒主机,什么是防火墙产品发展历程防火墙种类防火墙功能,防火墙功能,安全内核访问控制 内容安全 IP与MAC绑定 安全远程管理 多种管理方式 灵活接入 授权认证 双机热备 安全审计 加密 端口映射 流量控制 规则模拟测试 入侵检测 本地 & 远程管理 NAT转换 & IP复用 多端口结构 安全联动 双系统 网络管理,基于源地址、目的地址 基于源端口、目的端口 基于用户 基于时间 基于流量 基于时间的控制 用户级权限控制,防火墙,什么是防火墙产品发展历程防火墙种类防火墙功能,灵活的访问控制,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于IP旗标 基于用户 基于流量,可以灵活的制定的控制策略,什么是防火墙产品发展历程防火墙种类防火墙功能,基于时间的控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,什么是防火墙产品发展历程防火墙种类防火墙功能,用户级权限控制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,Xiang,123,Yes,Tom,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,什么是防火墙产品发展历程防火墙种类防火墙功能,内容安全,应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等,应用层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,什么是防火墙产品发展历程防火墙种类防火墙功能,IP与MAC绑定,Internet,Host B,,Host C,,Host D,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND To 00-50-04-BB-71-A6,BIND To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,什么是防火墙产品发展历程防火墙种类防火墙功能,安全远程管理,Internet,,Superman,*,管理员,用户名，口令,什么是防火墙产品发展历程防火墙种类防火墙功能,多种管理方式,Internet,串口线直接管理,远程Telnet管理远程GUI管理浏览器管理,,Superman,*,多种管理方式将可以满足不同用户的需求,什么是防火墙产品发展历程防火墙种类防火墙功能,双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,什么是防火墙产品发展历程防火墙种类防火墙功能,信息审计 & 日志,Internet,,,写入日志,写入日志,一旦出现安全事故可以查询此日志,什么是防火墙产品发展历程防火墙种类防火墙功能,VPN功能,Host C,Host D,Host B,Host A,受保护网络,Internet,先判断是否允许包通过然后根据策略决定是否使用安全协议,是,交给IPSec核心处理,对数据加密或认证,得到新的数据包,将新的数据包转发到相应的端口,收到的数据包经过IPSec处理了吗,交给IPSec核心处理,去掉AH ESP头,根据策略决定如何处理数据包,是,转发到内部接口,允许,什么是防火墙产品发展历程防火墙种类防火墙功能,端口映射,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,,,,MAP ：80 TO ：80,MAP ：21 TO ：21,MAP ：25 TO ：25,MAP ：53 TO ：53,,,什么是防火墙产品发展历程防火墙种类防火墙功能,流量控制,Host C,Host D,Host B,Host A,受保护网络,Host A的流量已达到 10M,Host A的流量已达到 极限值30M,阻断Host A的连接,Internet,Host C,Host D,Host B,Host A,什么是防火墙产品发展历程防火墙种类防火墙功能,入侵检测,受保护网络,Internet,同一台主机对受保护网络内的主机频繁扫描 同一主机对受保护网内的主