130 likes | 319 Views
第 1 章 防火墙技术介绍. ISSUE 1.1. 日期:. 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播. 课程目标. 学习完本课程,您应该能够:. 了解网络安全基本概念 掌握防火墙必备的技术范围. 网络安全概述. 网络安全是 Internet 必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义: 保证内部局域网的安全(不被非法侵入) 保护和外部进行数据交换的安全 网络安全技术的完善和更新. 网络安全关注的范围. 网络安全关注的范围 保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户 实现有效的访问控制
E N D
第1章 防火墙技术介绍 ISSUE 1.1 日期: 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
课程目标 学习完本课程,您应该能够: • 了解网络安全基本概念 • 掌握防火墙必备的技术范围
网络安全概述 • 网络安全是Internet必须面对的一个实际问题 • 网络安全是一个综合性的技术 • 网络安全具有两层含义: • 保证内部局域网的安全(不被非法侵入) • 保护和外部进行数据交换的安全 • 网络安全技术的完善和更新
网络安全关注的范围 • 网络安全关注的范围 • 保护网络物理线路不会轻易遭受攻击 • 有效识别合法的和非法的用户 • 实现有效的访问控制 • 保证内部网络的隐蔽性 • 有效的防伪手段,重要的数据重点保护 • 对网络设备、网络拓扑的安全管理 • 病毒防范 • 提高安全防范意识 • 网络安全设备的分类
防火墙的必备技术 • 针对网络存在的各种安全隐患,防火墙必须具有如下安全特性: • 网络隔离及访问控制 • 攻击防范 • 地址转换 • 应用层状态检测 • 身份认证 • 内容过滤 • 安全管理
网络隔离及访问控制 不受信区域和受信区域之间不能互访 防火墙 受信区域 不受信区域 DMZ区 • 受信区域->DMZ区,可以访问POP3和SMTP服务 • DMZ->受信区域,不可访问任何服务 • 不受信区域->DMZ区,可以访问POP3和SMTP服务 • DMZ->不受信区域,可以访问任何服务 交换机 EMAIL服务器
攻击防范 黑客 阻止 DoS攻击 防火墙 受信区域 不受信区域 正常用户
地址转换(NAT) 10.1.1.100 → 210.190.100.23 WEB服务器 防火墙 10.1.1.1 210.190.100.23 10.1.1.0/24 10.1.1.100 ← 210.190.100.23
应用层状态检测包过滤(ASPF) 监视通信过程中的报文 动态创建和删除过滤规则
身份认证 防火墙 用户上网 用户名、密码 ? 输入用户名、密码 认证通过 正常上网
内容过滤 • 正常网站 健康 内容 • 有害网站 有害 内容 • 有害网站过滤 • 网页恶意内容摘除
安全管理 • 监控终端 • 控制台 SecPath Internet • 日志主机 • 日志缓冲