防火墙与入侵检测.ppt

网络通信平安管理员认证

防火墙与入侵检测Copyright?2010Mazhao

问题的提出你想免受黑客的攻击吗？你如何把攻击抵御在企业外部吗？马其顿防线---开始防御解答：

为什么需要防火墙？保护内部不受来自Internet的攻击为了创立平安域为了增强机构平安策略

对防火墙的两大需求保障内部网平安保证内部网同外部网的连通

什么是防火墙(Firewall)防火墙的本义原是指古代人们当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。原是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开

什么是计算机网络中的防火墙(Firewall)？Internet1.企业内联网2.部门子网3.分公司网络

防火墙定义防火墙是一种〔被动的〕访问控制技术，在某个机构的网络和不平安的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，根据平安策略控制进/出两个方向的通信。注解：1、内部网与互联网的有效隔离2、内网与外网之间的第一道平安屏障3、它将不可信网络同可信任网络隔离开4、防火墙本身具有较强的抗攻击能力

防火墙示意图

具体解释—什么是防火墙1在一个受保护的企业内部网络与互联网间,用来强制执行企业平安策略的一个或一组系统.

具体解释—什么是防火墙2防火墙主要用于保护内部平安网络免受外部网不平安网络的侵害。典型情况：平安网络为企业内部网络，不平安网络为因特网。但防火墙不只用于因特网，也可用于Intranet各部门网络之间〔内部防火墙〕。例：财务部与市场部之间。

防火墙应具有的特性防火墙是放置在两个可信程度不同的网络之间的一组组件，这组组件共同具有以下性质双向通信必须通过防火墙防火墙本身不会影响信息的流通只允许本身平安策略授权的通信信息通过

防火墙的功能防火墙的功能过滤进出网络的数据管理进出网络的访问行为封堵某些禁止的业务记录进出网络的信息和活动对网络攻击进行检测和告警

互聯网试图穿越防火墙

防火墙的组成防火墙＝过滤器＋平安策略防火墙的存在形式：软件、硬件功能组成：应用程序代理包过滤状态检测用户认证NATVPN日志IDS与报警内容过滤

防火墙的开展历史图示

现在和未来的防火墙集成入侵检测人工智能〔神经网络模糊识别专家系统〕深度包检测技术网络处理器〔NetworkProcessor〕和专用集成电路〔ASIC〕—千兆分布式

防火墙的分类1．包过滤防火墙〔分组〕2．应用代理防火墙3.电路级网关型防火墙4.状态包检测防火墙5.自适应代理型防火墙这是根据采用工作的网络层次不同进行分类的

包过滤防火墙1包是网络上信息流动的根本单位，它由数据负载和包头两个局部组成。包过滤器又称为过滤路由器，它把包头信息和管理员设定的规那么表进行比较，如果有一条规那么不允许发送某个包，路由器将会丢弃它。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

包过滤防火墙2防火墙通常就是一个具备包过滤功能的简单路由器，支持因特网平安。因为包过滤是路由器的固有属性，因而它是一种因特网互联更加平安的简单方法。过滤路由器与普通路由器的差异主要在于，普通路由器只是简单地查看每一个数据包的目标地址，并且选取数据包发往目标地址的最正确路径。作为过滤路由器，它将更严格地检查数据包，除了决定它是否能发送数据包到其它目标之外，过滤路由器还决定它是否应该发送。“应该”或者“不应该”由站点的平安策略决定，并由过滤路由器强制设置。

包过滤防火墙的示意图

包过滤防火墙的示意图2

包过滤效劳器的工作层面互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层

包过滤所检查的内容IP源地址IP目标地址协议类型〔TCP包、UDP包和ICMP包〕TCP或UDP包的目的端口TCP或UDP包的源端口ICMP消息类型TCP包头的ACK位TCP包的序列号、IP校验和等

包过滤例子第一条规那么：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规那么：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规那么：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许***TCP2允许*20*TCP3禁止*201024TCP

推荐配置软件WinRoute4.1

包过滤防火墙的优缺点优点：1、使用方便，对用户透明2、效率高，速度快3、可方便用于隔离内外网络例子：包过滤路由器与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”守卫快速的观察包的住户地址是否正确，检查卡车的标识(证件