4、防火墙原理及安全设计.pdf

玛赛安全课堂（4 ） 防火墙的原理及安全设计 研发部经理赵国富，Marsec，2002.3 gfzhao@ 本课程的基本内容 防火墙的原理与分类 防火墙系统的设计原则 防火墙的选择与维护 防火墙产品的测试与选型 网络的安全系统设计 防火墙的原理 内 容 Internet的安全风险 Internet的基本安全概念 防火墙的重要性 防火墙的基本概念 防火墙的基本功能 防火墙的局限性 防火墙的分类 Internet的安全风险 纷繁复杂的Internet 网络复杂 用户层次复杂 情况瞬息变化 企业网络出于商业目的向公众开放 TCP/IP协议的自身弱点 攻击工具非常容易取得 安全教育严重不足 一个典型的攻击者工具包 网络扫描器(network scanner) 强力口令破解和常用字典口令破解 报文监听(sniffer) 特洛伊木马程序和运行库(Trojan) 选择性修改系统日志的工具 隐藏活动的工具 自动修改系统配置文件的工具 报告错误信息的检验和工具(bogus chksum) Internet上没有人能免于攻击 政府 企业 个人 Internet的基本安全概念 资源和信息 Confidentiality Integrity Availability 接触资源和信息的人 Authentication Authorization Nonrepudiation 防火墙的基本概念 什么是防火墙？ 防火墙是在一个组织的网 络和Internet之间执行安全 策略的一个或一组系统。 我们希望防火墙具有的功能 过滤不安全因素，拒敌于国门之外 加强安全认证，控制资源和信息的使用 在安全认证的基础上，实现访问授权 减轻主机安全控制和安全配置的负担 提前发现攻击意图，防患于未然 记录攻击者的行踪，为法律解决提供依 据 防火墙的功能 过虑进出网络数据 管理进出网络访问行为 记录通过防火墙的信息内容和活动 对网络攻击检测和告警 控制不安全的服务 站点访问控制 集中安全保护 强化私有权 网络连接的日志记录及使用统计 防火墙的基本功能 数据包过滤 服务代理 加密认证 记录和报警 VPN和带宽管理 数据包的过滤 过滤的原理 数据传输的分层与报头的结构 物理链路层--Network access layer 以太网，FDDI，ATM 网络层--Internet layer IP 传输层--Transport Layer TCP or UDP 应用层--Application Layer FTP, Telnet, HTTP 防火墙的过滤原理 数据包的过滤 Application Application Presentation Pr