文档介绍:第十二章防火墙
防火墙概述
什么是防火墙
古代修筑在房屋之间的一道墙,用于防止火势蔓延
现在用于控制两个不同安全策略的网络之间互访,执行访问控制策略
通过它可以隔离风险区域(或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。
上超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
防火墙概念
防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称.
一个好的防火墙具备:
–内部和外部之间的所有网络数据流必须经过防火墙
–只有符合安全政策的数据流才能通过防火墙
–防火墙自身应对渗透(peneration)免疫
防火墙的功能
服务控制,确定哪些服务可以被访问
方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙
用户控制,根据用户来控制对服务的访问
行为控制,控制一个特定的服务的行为
对内部网实现集中的安全管理,强化网络安全策略
防止非授权用户进入内部网络
方便的监视网络安全并及时报警
实现网络地址转换
对内部网络进行划分,实现重点网段的隔离
审计和记录网络访问
防火墙的作用
确保一个单位内的网络与因特网的通信符合该单位的安全方针,为管理人员提供下列问题的答案:
–谁在使用网络
–他们在网络上做什么
–他们什么时间使用了网络
–他们上网去了何处
–谁要上网没有成功
防火墙的基本规则
防火墙设计策略
一种是“一切未被允许的就是禁止的”
一种是“一切未被禁止的都是允许的”。
第一种的特点是安全性好,但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务,但是在日益增多的网络服务面前,很难为用户提供可靠的安全防护。
防火墙技术
数据包过滤技术
包过滤防火墙以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表
代理服务
代理防火墙(应用层网关防火墙)。以美国NAI公司的Gauntlet防火墙为代表。