《網(wǎng)絡(luò)信息安全西財(cái)課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)信息安全西財(cái)課件（65頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,,*,第八章 防火墻,第八章 防火墻,,第八章 防火墻,第一節(jié)　防火墻的根本原理,第二節(jié)　防火墻的分類,第三節(jié) 防火墻體系結(jié)構(gòu),第四節(jié) 防火墻的開展趨勢,,第一節(jié)　防火墻的根本原理,一、防火墻的概念,,一、防火墻的概念,,,防火墻,(Firewall)是指一個(gè)由軟件和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。,第一節(jié)　防火墻的根本原理,,一、防火墻的概念,第一節(jié)　防火墻的根本原理,,二、防火墻模型,,形象地說，防火墻是

2、在兩個(gè)網(wǎng)絡(luò)通信時(shí)，執(zhí)行一種相互訪問控制的尺度，它能夠允許用戶“同意〞的人和數(shù)據(jù)進(jìn)入他的網(wǎng)絡(luò)，同時(shí)將用戶“不同意〞的人和數(shù)據(jù)拒之門外，阻止網(wǎng)絡(luò)中的黑客訪問他的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞用戶的重要信息，按照OSI/RM模型要求，防火墻可以在OSI/RM七層中的五層設(shè)置。,第一節(jié)　防火墻的根本原理,,二、防火墻模型,,防火墻模型,第一節(jié)　防火墻的根本原理,,,三、防火墻的平安策略,包括用戶的所有信息。其中最主要包括用戶名、口令、用戶所屬的工作組、用戶在系統(tǒng)中的權(quán)限和資源存取許可。,第一節(jié)　防火墻的根本原理,1．用戶帳號策略,,,三、防火墻的平安策略,用戶權(quán)限策略用來允許授權(quán)用戶使用系統(tǒng)資源。用戶

3、權(quán)限一般有兩種：對執(zhí)行特定任務(wù)用戶的授權(quán)可應(yīng)用于整個(gè)系統(tǒng)；對特定對象〔如目錄、文件、打印機(jī)等〕的規(guī)定，這種規(guī)定限制用戶能否或以何種方式存取對象。,第一節(jié)　防火墻的根本原理,2．用戶權(quán)限策略,,,三、防火墻的平安策略,通過信任關(guān)系在網(wǎng)絡(luò)中建立域的平安性。信任關(guān)系是兩個(gè)域中一個(gè)域信任另外的域。它包括兩個(gè)方面：信任域和被信任域。信任域可允許被信任域中的用戶在其中使用。,第一節(jié)　防火墻的根本原理,3．信任關(guān)系策略,,,三、防火墻的平安策略,包過濾路由器根據(jù)過濾規(guī)那么，來過濾基于標(biāo)準(zhǔn)的數(shù)據(jù)包，完成包過濾功能。其中包括：包過濾控制點(diǎn)；包過濾操作過程、包過濾規(guī)那么；對地址欺騙、輸入輸出端口的過濾；FTD包與

4、UDP包的過濾等。,第一節(jié)　防火墻的根本原理,4．包過濾策略,,,三、防火墻的平安策略,目前已有的可以公開的加密算法很多，其中最有名的傳統(tǒng)加密算法是美國DES〔數(shù)據(jù)加密標(biāo)準(zhǔn)〕和RC5算法、歐洲的IDEA算法、日本的FEAL算法。最有名的公開密鑰體制是RSA體制、Elgamal體制等。最有名的數(shù)字簽名體制是DSS體制、Elgamal體制等。最有名的消息簽名體制有MD5等。,第一節(jié)　防火墻的根本原理,5．認(rèn)證、簽名和數(shù)據(jù)加密策略,,,三、防火墻的平安策略,從Internet的應(yīng)用來看，密鑰管理方式應(yīng)采用自動(dòng)化管理，特別對于密鑰分配而言，應(yīng)采用離線式密鑰中心方式。針對Internet的層次結(jié)構(gòu)，密鑰

5、中心的設(shè)置應(yīng)具有相應(yīng)的層次。而整個(gè)密鑰體系也應(yīng)采用層次結(jié)構(gòu)，以分為主密鑰、密鑰加密密鑰和會(huì)話密鑰三個(gè)層次為宜。,第一節(jié)　防火墻的根本原理,6．密鑰分配策略,,,三、防火墻的平安策略,審計(jì)是用來記錄如下事件：哪個(gè)用戶訪問哪個(gè)對象；訪問類型；訪問過程是否成功等。,第一節(jié)　防火墻的根本原理,7．審計(jì)策略,,按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法，大致可以分為兩大類：,包過濾〔packet filtering〕防火墻,應(yīng)用代理〔application proxy〕防火墻,,〔又稱應(yīng)用層網(wǎng)關(guān)防火墻〕,第一節(jié)　防火墻的根本原理,,第八章 防火墻,第一節(jié)　防火墻的根本原理,第二節(jié)　防火墻的分類,第三節(jié) 防火

6、墻體系結(jié)構(gòu),第四節(jié) 防火墻的開展趨勢,,第二節(jié)　防火墻的分類,,一、包過濾防火墻,包過濾作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包那么被從數(shù)據(jù)流中丟棄。,1．包過濾的概念,,包過濾防火墻又稱為過濾路由器，它通過將包頭信息和管理員設(shè)定的規(guī)那么表比較，如果有一條規(guī)那么不允許發(fā)送某個(gè)包，路由器就將它丟棄。,一、包過濾防火墻,1．包過濾的概念,第二節(jié)　防火墻的分類,,包過濾方式有很多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用放置在重要位置上的包過濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。,1．包過濾的概念,一

7、、包過濾防火墻,第二節(jié)　防火墻的分類,,雖然包過濾防火墻有許多優(yōu)點(diǎn)，但它也有一些缺點(diǎn)及局限性：,,〔1〕在機(jī)器中配置包過濾規(guī)那么比較困難；,,〔2〕對系統(tǒng)中的包過濾規(guī)那么的配置進(jìn)行測試也較麻煩；,,〔3〕許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要尋找一個(gè)比較完整的包過濾產(chǎn)品比較困難。,一、包過濾防火墻,第二節(jié)　防火墻的分類,,,一、包過濾防火墻,2．包過濾的根本原理,〔1〕包過濾和網(wǎng)絡(luò)平安策略,,包過濾還可以用來實(shí)現(xiàn)大范圍內(nèi)的網(wǎng)絡(luò)平安策略。網(wǎng)絡(luò)平安策略必須清楚地說明被保護(hù)的網(wǎng)絡(luò)和效勞的類型、它們的重要程度和這些效勞要保護(hù)的對象等。,,第二節(jié)　防火墻的分類,,〔2〕包過濾模型,,包過濾器通常設(shè)

8、置于一個(gè)或多個(gè)網(wǎng)段之間。網(wǎng)絡(luò)段區(qū)分為外部網(wǎng)段或內(nèi)部網(wǎng)段。外部網(wǎng)段是通過網(wǎng)絡(luò)將用戶的計(jì)算機(jī)連接到外面的網(wǎng)絡(luò)上，內(nèi)部網(wǎng)段用來連接公司內(nèi)部的主機(jī)和其他網(wǎng)絡(luò)資源。,2．包過濾的根本原理,一、包過濾防火墻,第二節(jié)　防火墻的分類,,〔3〕包過濾操作,2．包過濾的根本原理,一、包過濾防火墻,①包過濾標(biāo)準(zhǔn)必須由包過濾設(shè)備端口存儲(chǔ)起來，這些包過濾標(biāo)準(zhǔn)叫包過濾規(guī)那么;,②當(dāng)包到達(dá)端口時(shí)，對包的報(bào)頭進(jìn)行語法分析;,③包過濾規(guī)那么以特殊的方式進(jìn)行存儲(chǔ);,第二節(jié)　防火墻的分類,,④如果一條規(guī)那么允許包傳輸或接收那么該包可以繼續(xù)處理 ;,⑤如果一條規(guī)那么阻止包傳輸或接收，此包便不被允許通過;,⑥如果一個(gè)包不滿足任何一條規(guī)

9、那么，那么該包被阻塞;,2．包過濾的根本原理,一、包過濾防火墻,〔3〕包過濾操作,第二節(jié)　防火墻的分類,,,一、包過濾防火墻,圖8.2 包過濾操作流程圖,包過濾操作流程,3．包過濾規(guī)那么,第二節(jié)　防火墻的分類,,,一、包過濾防火墻,,4．依據(jù)地址進(jìn)行過濾,用地址進(jìn)行過濾可以不管使用什么協(xié)議，僅根據(jù)源地址/目的地址對流動(dòng)的包進(jìn)行過濾。,第二節(jié)　防火墻的分類,,,一、包過濾防火墻,,5．依據(jù)效勞進(jìn)行過濾,被拒絕進(jìn)入內(nèi)部網(wǎng)絡(luò)的偽裝包主要是在依靠地址進(jìn)行過濾的包過濾系統(tǒng)中。大多數(shù)包過濾系統(tǒng)還涉及到依據(jù)效勞進(jìn)行過濾。,第二節(jié)　防火墻的分類,,,二、應(yīng)用代理防火墻,,應(yīng)用代理，也叫應(yīng)用網(wǎng)關(guān)〔applic

10、ation gateway〕，它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔〞了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用效勞編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。,1．應(yīng)用代理概念,第二節(jié)　防火墻的分類,,二、應(yīng)用代理防火墻,應(yīng)用代理防火墻的典型配置,第二節(jié)　防火墻的分類,,應(yīng)用代理或代理效勞器(application level proxyor，proxy server)是代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)效勞器進(jìn)行信息交換的程序。它將內(nèi)部用戶的請求確認(rèn)后送達(dá)外部效勞寶器，同時(shí)將外部效勞器的響應(yīng)再回送給用戶。,二、應(yīng)用代理防火墻,1．應(yīng)用代理概念,第二節(jié)　防火墻的分類,,代理的實(shí)現(xiàn)過程如圖8.4所示，代理效勞

11、有兩個(gè)主要部件：代理效勞器和代理客戶。,用戶,代理服務(wù)器,感覺的連接,實(shí)際的連接,外部主機(jī),圖8.4 代理的實(shí)現(xiàn)過程,二、應(yīng)用代理防火墻,1．應(yīng)用代理概念,第二節(jié)　防火墻的分類,,,二、應(yīng)用代理防火墻,,2．代理效勞,代理效勞是具有訪問互聯(lián)網(wǎng)能力的主機(jī)作為那些無權(quán)訪問互聯(lián)網(wǎng)主機(jī)的代理，這樣使得一些不能訪問互聯(lián)網(wǎng)的主機(jī)通過代理效勞也可以完成訪問互聯(lián)網(wǎng)的工作。,第二節(jié)　防火墻的分類,,二、應(yīng)用代理防火墻,,3. 代理效勞的工作方法,代理效勞的工作細(xì)節(jié)對每一種效勞器都是不同的，一些效勞已自動(dòng)地提供了代理，對于這些效勞可以通過對正常效勞器的配置來設(shè)置代理。但對于大多數(shù)效勞來說，代理效勞在效勞器上要求

12、運(yùn)行特殊的代理效勞器軟件。,第二節(jié)　防火墻的分類,,在客戶端可以有以下兩種方法:,3. 代理效勞的工作方法,二、應(yīng)用代理防火墻,(1)定制客戶軟件。采用這種方法，軟件必須知道當(dāng)用戶提出請求時(shí)怎樣與代替真實(shí)效勞器的代理效勞器進(jìn)行連接，并且告訴代理效勞器如何與真實(shí)效勞器連接。,第二節(jié)　防火墻的分類,,,(2)定制客戶過程。采用這種方法時(shí)，用戶使用標(biāo)準(zhǔn)的客戶軟件與代理效勞器連接，并通知代理效勞器與真實(shí)效勞器連接，以此來代替與真實(shí)效勞器的連接。,二、應(yīng)用代理防火墻,3. 代理效勞的工作方法,第二節(jié)　防火墻的分類,,,二、應(yīng)用代理防火墻,,4. 代理效勞器的使用,代理效勞器有一些特殊類型，主要表現(xiàn)為應(yīng)用

13、級與回路級代理、公共與專用代理效勞器和智能代理效勞器。,〔1〕應(yīng)用級與回路級代理,,應(yīng)用級代理是代理效勞為哪個(gè)應(yīng)用提供的代理，它能了解并解釋應(yīng)用協(xié)議中的命令；而回路級代理在客戶端與效勞器之間不解釋應(yīng)用協(xié)議中的命令就建立了連接回路。,〔2〕公共與專用代理效勞器,,一個(gè)專用效勞器只適用于單個(gè)協(xié)議，而一個(gè)公共代理效勞器那么適用多個(gè)協(xié)議。實(shí)際上專用代理效勞器是應(yīng)用級的，而公共代理效勞器是屬于回路級的。,〔3〕智能代理效勞器,,如果一個(gè)代理效勞器不僅能處理轉(zhuǎn)發(fā)請求，同時(shí)還能夠做其他許多事情的話，這樣的代理效勞器就稱為智能代理效勞器。對于一個(gè)專用的應(yīng)用級代理來說很容易升級到智能代理效勞器，但對一個(gè)回路級的

14、代理來說那么比較困難。,第二節(jié)　防火墻的分類,,三、 復(fù)合型防火墻,1．傳統(tǒng)防火墻分析,基于網(wǎng)絡(luò)地址轉(zhuǎn)換〔network address translator, NAT〕的復(fù)合型防火墻系統(tǒng)，它融合了代理技術(shù)的高性能和包過濾技術(shù)高效性的優(yōu)點(diǎn)。,第二節(jié)　防火墻的分類,,三、 復(fù)合型防火墻,2．設(shè)計(jì)思想,,集中訪問控制技術(shù)是在效勞請求時(shí)由網(wǎng)關(guān)負(fù)責(zé)鑒別，一旦鑒別成功，其后的報(bào)文交互都直接通過TCP/IP層的過濾規(guī)那么，無需象應(yīng)用層代理那樣逐個(gè)報(bào)文轉(zhuǎn)發(fā)，這就實(shí)現(xiàn)了與代理方式同樣的平安水平而處理量大幅下降，性能隨即得到大大提高。另一方面，NAT技術(shù)通過在網(wǎng)關(guān)上對進(jìn)出IP包源與目的地址的轉(zhuǎn)換，實(shí)現(xiàn)過濾規(guī)那么

15、的動(dòng)態(tài)化。,第二節(jié)　防火墻的分類,,三、 復(fù)合型防火墻,,3．系統(tǒng)設(shè)計(jì),,基于Web的防火墻管理系統(tǒng),集中訪問控制模塊,臨時(shí)訪問端口表,認(rèn)證訪問控制系統(tǒng),網(wǎng)絡(luò)安全監(jiān)控系統(tǒng),NAT模塊,內(nèi)部網(wǎng),內(nèi)部網(wǎng),圖8.5 基于NAT的復(fù)合型防火墻系統(tǒng)總體結(jié)構(gòu)模型,圖8.5給出了基于NAT的復(fù)合型防火墻系統(tǒng)的總體結(jié)構(gòu)模型，由五大模塊組成。,第二節(jié)　防火墻的分類,,三、 復(fù)合型防火墻,,3．系統(tǒng)設(shè)計(jì),,NAT模塊依據(jù)一定的規(guī)那么，對所有出入的數(shù)據(jù)包進(jìn)行源與目的地址識別，并將由內(nèi)向外的數(shù)據(jù)包中源地址替換成一個(gè)真實(shí)地址，而將由外向內(nèi)的數(shù)據(jù)包中的目的地址替換成相應(yīng)的虛擬地址,第二節(jié)　防火墻的分類,,三、 復(fù)合型防

16、火墻,,集中訪問控制〔CAC〕模塊負(fù)責(zé)響應(yīng)所有指定的由外向內(nèi)的效勞訪問，通知認(rèn)證訪問控制系統(tǒng)實(shí)施平安鑒別，為合法用戶建立相應(yīng)的連接，并將這一連接的相關(guān)信息傳遞給NAT模塊，保證在后續(xù)的報(bào)文傳輸時(shí)直接轉(zhuǎn)發(fā)而無需控制模塊干預(yù)。,3．系統(tǒng)設(shè)計(jì),,第二節(jié)　防火墻的分類,,三、 復(fù)合型防火墻,,臨時(shí)訪問端口表及連接控制〔TLTC〕模塊通過監(jiān)視外向型連接的端口數(shù)據(jù)動(dòng)態(tài)維護(hù)一張臨時(shí)端口表，記錄所有由內(nèi)向外的連接的源與目的端口信息，根據(jù)此表及預(yù)先配置好的協(xié)議集由連接控制模塊決定哪些連接是允許的而哪些是不允許的，即根據(jù)所制定的規(guī)那么〔平安政策〕禁止相應(yīng)的由外向內(nèi)發(fā)起的連接，以防止攻擊者利用網(wǎng)關(guān)允許的由內(nèi)向外的訪

17、問協(xié)議類型做反向的連接訪問。,3．系統(tǒng)設(shè)計(jì),,第二節(jié)　防火墻的分類,,三、 復(fù)合型防火墻,,認(rèn)證與訪問控制系統(tǒng)是防火墻系統(tǒng)的關(guān)鍵環(huán)節(jié)，它按照網(wǎng)絡(luò)平安策略負(fù)責(zé)對通過防火墻的用戶實(shí)施用戶的身份鑒別和對網(wǎng)絡(luò)信息資源的訪問控制，保證合法用戶正常訪問和禁止非法用戶訪問。,3．系統(tǒng)設(shè)計(jì),,第二節(jié)　防火墻的分類,,三、 復(fù)合型防火墻,,網(wǎng)絡(luò)監(jiān)控系統(tǒng)負(fù)責(zé)截取到達(dá)防火墻網(wǎng)關(guān)的所有數(shù)據(jù)包，對信息包報(bào)頭和內(nèi)容進(jìn)行分析，檢測是否有攻擊行為，并實(shí)時(shí)通知系統(tǒng)管理員。,3．系統(tǒng)設(shè)計(jì),,第二節(jié)　防火墻的分類,,三、 復(fù)合型防火墻,〔1〕網(wǎng)絡(luò)地址轉(zhuǎn)換模塊,,〔2〕集中訪問控制模塊,,〔3〕臨時(shí)訪問端口表,,〔4〕認(rèn)證與訪問控制

18、系統(tǒng),,〔5〕網(wǎng)絡(luò)平安監(jiān)控系統(tǒng),,〔6〕基于WEB的防火墻管理系統(tǒng),4．系統(tǒng)的實(shí)現(xiàn),,第二節(jié)　防火墻的分類,,第八章 防火墻,第一節(jié)　防火墻的根本原理,第二節(jié)　防火墻的分類,第三節(jié) 防火墻體系結(jié)構(gòu),第四節(jié) 防火墻的開展趨勢,,一、防火墻體系結(jié)構(gòu),1. 雙重宿主主機(jī)體系結(jié)構(gòu),,雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。,第三節(jié) 防火墻體系結(jié)構(gòu),,一、防火墻體系結(jié)構(gòu),1. 雙重宿主主機(jī)體系結(jié)構(gòu),第三節(jié) 防火墻體系結(jié)構(gòu),,一、防火墻體系結(jié)構(gòu),2. 主機(jī)過

19、濾體系結(jié)構(gòu),第三節(jié) 防火墻體系結(jié)構(gòu),,一、防火墻體系結(jié)構(gòu),3. 子網(wǎng)過濾體系結(jié)構(gòu),第三節(jié) 防火墻體系結(jié)構(gòu),,二、防火墻的變化和組合,一般有以下幾種形式：,,●使用多堡壘主機(jī)；,,●合并內(nèi)部路由器和外部路由器；,,●合并堡壘主機(jī)與外部路由器；,,●合并堡壘主機(jī)與內(nèi)部路由器；,,●合并多臺(tái)內(nèi)部路由器；,,●合并多臺(tái)外部路由器；,,●使用多個(gè)參數(shù)網(wǎng)絡(luò)；,,●使用雙重宿主主機(jī)與子網(wǎng)過濾。,第三節(jié) 防火墻體系結(jié)構(gòu),,三、堡壘主機(jī),設(shè)計(jì)和建立堡壘主機(jī)的根本原那么有兩條：最簡化原那么和預(yù)防原那么。,,〔1〕最簡化原那么,,在堡壘主機(jī)上設(shè)置的效勞必須最少，同時(shí)對必須設(shè)置的效勞軟件只能給予盡可能低的權(quán)限。,,〔

20、2〕預(yù)防原那么,,要盡量使堡壘主機(jī)不被破壞，但同時(shí)又必須時(shí)刻提防“它一旦被攻破怎么辦？〞。一旦堡壘主機(jī)被破壞，我們還得盡力讓內(nèi)部網(wǎng)絡(luò)仍處于平安保障之中。,第三節(jié) 防火墻體系結(jié)構(gòu),1. 建立堡壘主機(jī)的一般原那么,,三、堡壘主機(jī),2. 堡壘主機(jī)的種類,堡壘主機(jī)目前一般有三種類型：,無路由雙宿主主機(jī),、,犧牲主機(jī),和,內(nèi)部堡壘主機(jī)。,無路由雙宿主主機(jī)有多個(gè)網(wǎng)絡(luò)接口，但這些接口間沒有信息流。,犧牲主機(jī)是一種上面沒有任何需要保護(hù)信息的主機(jī)，同時(shí)它又不與任何入侵者想利用的主機(jī)相連。,堡壘主機(jī)可與某些內(nèi)部主機(jī)進(jìn)行交互。這些內(nèi)部主機(jī)其實(shí)是有效的次級堡壘主機(jī)，對它們就應(yīng)像堡壘主機(jī)一樣加以保護(hù)。,第三節(jié) 防火墻體

21、系結(jié)構(gòu),,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,〔1〕堡壘主機(jī)操作系統(tǒng)的選擇,,應(yīng)該選擇較為熟悉的系統(tǒng)作為堡壘主機(jī)的操作系統(tǒng)。,第三節(jié) 防火墻體系結(jié)構(gòu),,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,〔2〕堡壘主機(jī)速度的選擇,,作為堡壘主機(jī)的計(jì)算機(jī)并不要求有很高的速度。選用功能并不十分強(qiáng)大的機(jī)器作為堡壘主機(jī)反而更好。,第三節(jié) 防火墻體系結(jié)構(gòu),,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,〔3〕堡壘主機(jī)的硬件,,在選擇堡壘主機(jī)及它的外圍設(shè)備時(shí)，應(yīng)慎選產(chǎn)品；不可選太舊的產(chǎn)品；堡壘主機(jī)的內(nèi)存要大，并配置有足夠的交換空間。；需要有較大的磁盤空間作為存儲(chǔ)緩沖。,第三節(jié) 防火墻體系結(jié)構(gòu),,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,

22、〔4〕堡壘主機(jī)的物理位置,,①位置要平安,,②堡壘主機(jī)在網(wǎng)絡(luò)上的位置,第三節(jié) 防火墻體系結(jié)構(gòu),,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,〔5〕堡壘主機(jī)提供的效勞,,堡壘主機(jī)應(yīng)當(dāng)提供站點(diǎn)所需求的所有與互聯(lián)網(wǎng)有關(guān)的效勞，同時(shí)還要經(jīng)過包過濾提供內(nèi)部網(wǎng)絡(luò)向外界的效勞。任何與外部網(wǎng)絡(luò)無關(guān)的效勞都不應(yīng)放置在堡壘主機(jī)上。,,第三節(jié) 防火墻體系結(jié)構(gòu),,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,我們將可以由堡壘主機(jī)提供的效勞分成以下四個(gè)級別。,,①無風(fēng)險(xiǎn)效勞，僅僅通過包過濾便可實(shí)施的效勞。,,②低風(fēng)險(xiǎn)效勞，在有些情況下這些效勞運(yùn)行時(shí)有平安隱患，但加以一些平安控制措施便可消除平安問題，這類效勞只能由堡壘主機(jī)提供。,,③高風(fēng)

23、險(xiǎn)效勞，在使用這些效勞時(shí)無法徹底消除平安隱患；這類效勞一般應(yīng)被禁用，特別需要時(shí)也只能放置在主機(jī)上使用。,,④禁用效勞，應(yīng)被徹底禁止使用的效勞。,第三節(jié) 防火墻體系結(jié)構(gòu),,三、堡壘主機(jī),3. 堡壘主機(jī)的選擇,電子郵件〔SMTP〕是堡壘主機(jī)應(yīng)提供的最根本的效勞，其他還應(yīng)提供的服,,●FTP，文件傳輸效勞；,,●WHIS，基于關(guān)鍵字的信息瀏覽效勞；,,●HTTP，超文本方式的信息瀏覽效勞；,,●NNTP，Usenet新聞組效勞；,,●RTSP，實(shí)時(shí)視頻音頻效勞；,,為了支持以上這些效勞，堡壘主機(jī)還應(yīng)有域名效勞〔DNS〕。,第三節(jié) 防火墻體系結(jié)構(gòu),,防火墻是目前使用最為廣泛的網(wǎng)絡(luò)平安產(chǎn)品之一，用戶在選

24、購時(shí)應(yīng)該注意以下幾點(diǎn)：,,〔1〕防火墻自身的平安性,,〔2〕系統(tǒng)的穩(wěn)定性,,〔3〕是否高效,,〔4〕是否可靠,,〔5〕是否功能靈活,,〔6〕是否配置方便,,〔7〕是否管理簡便,,〔8〕是否可以抵抗拒絕效勞攻擊,,〔9〕是否可以針對用戶身份過濾,,〔10〕是否可擴(kuò)展、可升級,第三節(jié) 防火墻體系結(jié)構(gòu),,第八章 防火墻,第一節(jié)　防火墻的根本原理,第二節(jié)　防火墻的分類,第三節(jié) 防火墻體系結(jié)構(gòu),第四節(jié) 防火墻的開展趨勢,,第四節(jié) 防火墻的開展趨勢,一、模式轉(zhuǎn)變,越來越多的防火墻產(chǎn)品也開始表達(dá)出一種分布式結(jié)構(gòu)。以分布式為體系進(jìn)行設(shè)計(jì)的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點(diǎn)為保護(hù)對象，可以最大限度地覆蓋需要保護(hù)的對象，大大提升平安防護(hù)強(qiáng)度。,,二、 功能擴(kuò)展,防火墻的管理功能一直在迅猛開展，并且不斷地提供一些方便好用的功能給管理員，這種趨勢仍將繼續(xù)，更多新穎實(shí)效的管理功能會(huì)不斷地涌現(xiàn)出來。,第四節(jié) 防火墻的開展趨勢,,三、性能提高,未來的防火墻產(chǎn)品會(huì)呈現(xiàn)出更強(qiáng)的處理性能要求，而寄希望于硬件性能的水漲船高肯定會(huì)出現(xiàn)瓶頸，所以諸如并行處理技術(shù)等經(jīng)濟(jì)實(shí)用并且經(jīng)過足夠驗(yàn)證的性能提升手段將越來越多的應(yīng)用在防火墻產(chǎn)品平臺(tái)上。,第四節(jié) 防火墻的開展趨勢,,