1、 防火墙及防病毒技术Date1第一部分:防火墙技术Date2防火墙的定义传统的防火墙概念传统的防火墙概念 概念: 防火墙被设计用来防止火从大厦的一部分传播到另一部分Date3I T 领域使用的防火墙概念领域使用的防火墙概念两个安全域之间通信流的唯一通道安全域 1Host A Host B 安全域 2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestination ProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备,置于不同 网络安全域 之间的一系列部件的组合,它是不同网络安全域间通信流的
2、 唯一通道 ,能根据企业有关的安全政策 控制 (允许、拒绝、监视、记录)进出网络的访问行为。Date4防火墙发展软 件防火 墙 软 硬件 结 合防火 墙 硬件防火 墙 运行在通用操作系 统 上性能依靠于 计 算机 CPU,内存等极易造成网 络带宽 瓶 颈(20%-70%)可以 满 足低 带宽 低流量 环 境下的安全需要高速 环 境下容易造成系 统 崩 溃有用 户 限制,性价比 较 低管理复 杂 ,与系 统 有关机箱 +CPU+防火 墙软 件采用 专 用或通用操作系 统核心技 术 仍然 为软 件只能 满 足中低 带宽 要求(20%-70%)在高流量 环 境下会造成堵塞甚至系 统 崩 溃性价比不高
3、管理比 较 方便用 专 用芯片 处 理数据包使用 专 用的操作系 统 平台高 带宽 ,高吞吐量,真正 线 速防火墙安全与速度同 时 兼 顾性价比高管理 简单 ,快捷,具有良好的 总 体成本低Date5防火墙分类包过滤防火墙包过滤防火墙应用代理防火墙应用代理防火墙状态检测防火墙状态检测防火墙Date6防火墙在网络中的位置防火墙在网络中的位置防火墙放置于不同 网络安全域 之间Date7 第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。所以称为包过滤防火墙。 包过滤防火墙 的特点Date8包过滤防火墙包过滤防火墙Date9包过滤防火墙 缺点: 配置困难 ,因为包过滤防火墙的配置很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。 为特定服务开放的端口存在着危险,可能会被用于其他传输。 可能还有其他方法绕过防火墙进入网络,例如拨入连接。优点: 防火墙对每条传入和传出网络的包实行低水平控制。 防火墙可以识别和丢弃带欺骗性源 IP地址的包。 Date10
