网络管理与安全技术演示课件.ppt

7.3.1屏蔽路由器 屏蔽路由器就是实施过滤的路由器 包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。 通常过滤规则定义为：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的，即没有特别允许的数据包都拒绝。 好好的 7.3.1屏蔽路由器 INTERNET 包过滤路由器 内部网络 屏蔽路由器 好好的 7.3.1屏蔽路由器 优点是价格低且易于使用， 缺点 需要掌握TCP/IP知识才能创建相应的过滤规则，若有配置错误将会导致不期望的流量通过或拒绝一些应接受的流量。 包过滤路由器不隐藏内部网络的配置，任何允许访问屏蔽路由器的用户都可看到网络的布局和结构。 其监视和日志功能较弱，通常也没有警报的功能。这就意味着网络管理员要不断地检查网络以确定其是否受到攻击。防火墙一旦被攻陷后很难发现攻击者。 好好的 7.3.2 屏蔽主机网关 防火墙系统采用了包过滤路由器和堡垒主机组成的防火墙。 提供的安全等级比包过滤防火墙要高，其实现了网络层安全（包过滤）和应用层安全（代理服务）。 堡垒主机可以通过网络地址解析来隐藏内部网络的配置信息。 INTERNET 包过滤路由器 内部网络 屏蔽主机防火墙 信息服务器 堡垒主机 好好的 7.3.2 屏蔽主机网关 屏蔽主机防火墙是针对所有进出的信息都要经过堡垒主机而设计的。 堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。 在路由器上进行过滤规则配置，使得外部系统只能访问堡垒主机，内部系统的其他主机的信息全部被阻塞。确保了内部网络不受外部攻击。 由于内部主机与堡垒主机处于同一网络，安全策略之一就是决定是否允许内部系统直接访问Internet或使用堡垒主机上的代理服务来访问Internet。 若要强制内部用户使用代理服务，则可在路由器配置过滤规则时，让Internet只接受来自堡垒主机的内部数据包。 好好的 7.3.2 屏蔽主机网关 该防火墙系统的优点 内网的变化不影响堡垒主机和屏蔽路由器的配置。 可将提供公开的信息服务的服务器放置在由包过滤路由器和堡垒主机共用的网段上。 如果要求有特别高的安全特性，可让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先通过堡垒主机。 如果安全等级较低，则可将路由器配置成让外部用户直接访问公共的信息服务器。 好好的 7.3.2 屏蔽主机网关 与包过滤比较，这种方法的缺点是： 增加了成本并降低了性能。因为堡垒主机处理信息时，网络经常需要更多的时间来对用户的请求做出响应。使用户访问Internet变得较慢。 如果堡垒主机服务器作为应用级网关，内部客户端必须被配置成使用应用网关服务。 好好的 7.3.3 双宿主机网关 用一台装有两块网卡的堡垒主机做防火墙，一块与内网相连，一块与外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。这种防火墙由于在内部网络和外部网络之间创建了完全的物理隔断，增加了更有效的安全性。 INTERNET 包过滤路由器 内部网络 双宿堡垒主机防火墙 信息服务器 堡垒主机 好好的 网络管理与安全技术 好好的 第7章 防火墙 防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用 。 好好的 防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。 防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的内部网络，可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙可以是非常简单的过滤器，也可能是精心配置的网关。但都可用于监测并过滤所有内部网和外部网之间的信息交换。 防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输，并对网络数据的流动实现有效地管理。 7.1 防火墙基本概念 好好的 　防火墙示意图 好好的 UF3500/3100防火墙应用 三端口NAT模式 交换机 路由器 集线器 防火墙UF3500/3100 WWW 服务器 Mail服务器 PC PC FTP 服务器 好好的 7.1.1 防火墙技术发展状况  自从1986年美国Digital公司在Internet上安装了全球第