1、第 6 章 防火墙技术企业上网 面 临 的 安 全 问 题之一 : 内部网与互联网的有效隔离解答 : 防火墙网络间的访问-需隔离 FIREWALL防火墙的提出第 6 章 防火墙技术 防火墙 的定义: 是在 两个网络 之间执行访问控制策略的一组硬件和软件系统,其目的是保护本地网络的通信安全。 防火墙的保护功能: 防火墙对内部网络的保护是双向的。从入的方向上,它阻止外面网络对本地网络的非法访问和入侵;从出的方向上,它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内部信息的泄露。 堡垒主机: 典型的防火墙建立在一个服务器或主机的机器上,也称为 “堡垒主机 ”,它是一个多边协议路由器
2、。这个堡垒主机连接两个网络,一边与内部网相连,另一边与因特网相连。 6.1 基本概念6.1.1 防火墙基本知识防火墙 内网 外网第 6 章 防火墙技术防火墙第 6 章 防火墙技术6.1.2 防火墙的作用 防火墙能够强化安全策略 防火墙能有效地记录因特网上的活动 防火墙限制暴露用户点 防火墙是一个安全策略的检查站第 6 章 防火墙技术6.1.3防火墙类型及体系结构 双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。 主机过滤体系结构 主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外,主机过滤结构还有一台单独的路由器(过滤路由器)。 子网过滤体系结构 子网
3、过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开。第 6 章 防火墙技术双重宿主主机体系结构示意图第 6 章 防火墙技术主机过滤体系示意图第 6 章 防火墙技术子网过滤防火墙示意图第 6 章 防火墙技术6.1.4 防火墙的形式 使用多堡垒主机:堡垒主机与堡垒主机的组合。 内部路由器与外部路由器的组合:将内部路由器与外部路由器可以合并为一个路由器。 堡垒主机与路由器组合: 堡垒主机与外部路由器组合。 堡垒主机与内部路由器组合。 使用双重宿主主机与子网过滤:通过组合双重宿主主机体系结构与子网过滤体系结构,用户的安全防范便可得到明显的增强。第 6 章 防火墙技术6.1.5 防火墙的局限性 不能防范内部威胁 不能防范绕开它的攻击 防火墙不能自动防御新威 防火墙不能有效防范病毒
