《信息安全技术-第5章-访问控制与防火墙教学文案.ppt》由会员分享,可在线阅读,更多相关《信息安全技术-第5章-访问控制与防火墙教学文案.ppt(56页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全技术信息安全技术-第第5 5章章-访访问控制与防火墙问控制与防火墙本章概要本章概要本章针对访问控制和防火墙技术展开详尽的描述:本章针对访问控制和防火墙技术展开详尽的描述:p防火墙的分类;防火墙的分类;p防火墙的工作原理;防火墙的工作原理;p防火墙的不足;防火墙的不足;p防火墙的部署方式。防火墙的部署方式。2课程目标课程目标通过本章的学习,读者应能够:通过本章的学习,读者应能够:p了解访问控制与防火墙的基本原理;了解访问控制与防火墙的基本原理;p防火墙的部署方式;防火墙的部署方式;p主流防火墙产品。主流防火墙产品。35.1 网络防火墙的基本概念网络防火墙的基本概念 防防火火墙墙是是一一种
2、种高高级级访访问问控控制制设设备备,是是在在被被保保护护网网和和外外网网之之间间执执行行访访问问控控制制策策略略的的一一种种或或一一系系列列部部件件的的组组合合,是是不不同同网网络络安安全全域域间间通通信信流流的的通通道道,能能根根据据企企业业有有关关安安全全政政策策控控制制(允允许许、拒拒绝绝、监监视视、记记录录)进进出出网网络络的的访访问问行行为为。它它是是网网络络的的第第一一道道防防线线,也也是是当当前前防防止止网网络络系系统统被被人人恶恶意意破破坏坏的的一一个个主主要要网网络络安安全全设设备备。它它本本质质上上是是一一种种保保护护装装置置,在在两两个个网网之之间间构构筑筑了了一一个个保
3、保护护层层。所所有有进进出出此此保保护护网网的的传传播播信信息息都都必必须须经经过过此此保保护护层层,并并在在此此接接受受检检查查和和连连接接,只只有有授授权权的的通通信信才才允允许许通通过过,从从而而使使被被保保护护网网和和外外部部网网在在一一定定意意义义下下隔隔离离,防防止非法入侵和破坏行为。止非法入侵和破坏行为。图1 网络拓扑图不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户 DMZ 4防火墙的主要技术防火墙的主要技术应用层代理技术应用层代理技术 (Application Proxy)包过滤技术包过滤技术 (Pac
4、ket Filtering)状态包过滤技术状态包过滤技术 (Stateful Packet Filtering)应用层表示层会话层传输层网络层数据链路层物理层防火墙的主要技术种类防火墙的主要技术种类55.2.1 包过滤技术包过滤技术p包过滤技术的基本概念包过滤技术的基本概念 包包过过滤滤技技术术指指在在网网络络中中适适当当的的位位置置对对数数据据包包有有选选择择的的通通过过,选选择择的的依依据据是是系系统统内内设设置置的的过过滤滤规规则则,只只有有满满足足过过滤滤规规则则的的数数据据包包才才被被转转发发到到相相应应的的网网络络接接口口,其其余余数数据据包包则则从从数数据流中删除。据流中删除。包
5、包过过滤滤一一般般由由屏屏蔽蔽路路由由器器来来完完成成。屏屏蔽蔽路路由由器器也也称称过过滤滤路路由由器器,是是一一种种可可以以根根据据过过滤滤规规则则对对数数据据包包进进行行阻阻塞塞和和转转发发的路由器。的路由器。6p包过滤技术的基本概念包过滤技术的基本概念 包包过过滤滤技技术术是是一一种种简简单单、有有效效的的安安全全控控制制技技术术,它它通通过过在在网网络络间间相相互互连连接接的的设设备备上上加加载载允允许许、禁禁止止来来自自某某些些特特定定的的源源地地址址、目目的的地地址址、TCP端端口口号号等等规规则则,对对通通过过设设备备的的数数据据包进行检查,限制数据包进出内部网络。包进行检查,限
6、制数据包进出内部网络。图3 防火墙示意图7包过滤技术包过滤技术 包包过过滤滤技技术术是是防防火火墙墙最最常常用用的的技技术术。对对一一个个充充满满危危险险的的网网络络,这这种种方方法法可可以以阻阻塞塞某某些些主主机机或或网网络络连连入入内内部部网网络络,也也可以限制内部人员对一些危险和色情站点的访问。可以限制内部人员对一些危险和色情站点的访问。图4 包过滤技术概念数据包数据包数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据数据TCP报头报头IP报头报头分组过滤判断信息企业内部网企业内部网屏蔽路由器屏蔽路
7、由器数据包数据包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制策略8p包过滤的优点和不足包过滤的优点和不足包过滤技术具有以下优点:包过滤技术具有以下优点:l用户透明;用户透明;l传输性能高;传输性能高;l成本较低。成本较低。同样,包过滤技术也存在着以下几方面的不足:同样,包过滤技术也存在着以下几方面的不足:l该技术是安防强度最弱的防火墙技术;该技术是安防强度最弱的防火墙技术;l虽然有一些维护工具,但维护起来十分困难;虽然有一些维护工具,但维护起来十分困难;lIP包包的的源源地地址址、目目的的地地址
8、址、TCP端端口口号号是是唯唯一一可可以以用用于于判判断断是否包允许通过的信息;是否包允许通过的信息;9只只能能阻阻止止一一种种类类型型的的地地址址欺欺骗骗,即即外外部部主主机机伪伪装装内内部部主主机机的的IP,而而对对外外部部主主机机伪伪装装其其他他外外部部主主机机的的IP却却不不能能阻阻止止,另另外外不不能防止能防止DNS欺骗;欺骗;如如果果外外部部用用户户被被允允许许访访问问内内部部主主机机,则则他他就就可可以以直直接接访访问问内内部部网络上的任何主机。网络上的任何主机。105.2.2状态包检测技术状态包检测技术 状状态态包包检检测测技技术术是是包包过过滤滤技技术术的的延延伸伸,常常被被
9、称称为为“动动态态包包过过滤滤”,是是一一种种与与包包过过滤滤相相类类似似但但更更为为有有效效的的安安全全控控制制方方法法。对对新新建建的的应应用用连连接接,状状态态检检测测检检查查预预先先设设置置的的安安全全规规则则,允允许许符符合合规规则则的的连连接接通通过过,并并在在内内存存中中记记录录下下该该连连接接的的相相关关信信息息,生生成成状状态态表表。对对该该连连接接的的后后续续数数据据包包,只只要要符符合合状状态态表表,就就可可以通过。适合网络流量大的环境。以通过。适合网络流量大的环境。状态包检测技术有以下主要特点:状态包检测技术有以下主要特点:a.高高安安全全性性:工工作作在在数数据据链链
10、路路层层和和网网络络层层之之间间,确确保保截截取取和和检检测测所所有有通通过过网网络络的的原原始始数数据据包包。虽虽然然工工作作在在协协议议栈栈的的较较低低层层,但但可可以以监监视视所所有有应应用用层层的的数数据据包包,从从中中提提取取有有用用的的信信息息,安安全全性得到较大提高。性得到较大提高。11 b.高高效效性性:一一方方面面,通通过过防防火火墙墙的的数数据据包包都都在在协协议议栈栈的的较较低低层层处处理理,减减少少了了高高层层协协议议栈栈的的开开销销;另另一一方方面面,由由于于不不需需要要对对每每个个数数据据包包进进行行规规则则检检查查,从从而而使使得得性性能能得得到到了了较较大大提高
11、。提高。C.可可伸伸缩缩和和易易扩扩展展:由由于于状状态态表表是是动动态态的的,当当有有一一个个新新的的应应用用时时,它它能能动动态态的的产产生生新新的的规规则则,而而无无需需另另外外写写代代码码,因而具有很好的可伸缩和易扩展。因而具有很好的可伸缩和易扩展。d.应应用用范范围围广广:不不仅仅支支持持基基于于TCP的的应应用用,而而且且支支持持基基于无连接协议的应用。于无连接协议的应用。125.2.3 代理服务技术代理服务技术 代代 理理(Proxy)服服 务务 技技 术术 又又 称称 为为 应应 用用 层层 网网 关关(Applicationgateway)技技术术,是是运运行行于于内内部部网
12、网络络与与外外部部网网络络之之间间的的主主机机(堡堡垒垒主主机机)之之上上的的一一种种应应用用。当当用用户户需需要要访访问问代代理理服服务务器器另另一一侧侧主主机机时时,对对符符合合安安全全规规则则的的连连接接,代代理理服服务务器器将将代代替替主主机机响响应应,并并重重新新向向主主机机发发出出一一个个相相同同的的请请求求。当当此此连连接接请请求求得得到到回回应应并并建建立立起起连连接接之之后后,内内部部主主机机同同外外部部主主机机之间的通信将通过代理程序将相应连接映射来实现。之间的通信将通过代理程序将相应连接映射来实现。131.1.代理服务技术的优点代理服务技术的优点 a.代代理理放放火火墙墙
13、的的最最大大好好处处是是透透明明性性。对对用用户户来来说说,代代理理服服务务器器提提供供了了一一个个“用用户户正正在在与与目目标标服服务务器器直直接接打打交交道道”的的假假象象;对对目目标标服服务务器器来来说说,代代理理服服务务器器提提供供了了一一个个“目目标标服服务务器器正在与用户的主机系统直接打交道正在与用户的主机系统直接打交道”的假象。的假象。b.由由于于代代理理机机制制完完全全阻阻断断了了内内部部网网络络与与外外部部网网络络的的直直接接联联系系,保保证证了了内内部部网网络络拓拓扑扑结结构构等等重重要要信信息息被被限限制制在在代代理理网网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信
14、息。关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。14 c.通通过过代代理理访访问问Internet可可以以隐隐藏藏真真实实IP地地址址,同同时时解解决决合合法法IP地地址址不不够够用用的的问问题题。因因为为Internet见见到到的的只只是是代代理理服服务务器的地址,内部不合法的器的地址,内部不合法的IP地址可以通过代理访问地址可以通过代理访问Internet。d.用用于于应应用用层层的的过过滤滤规规则则相相对对于于包包过过滤滤路路由由器器来来说说更更容容易配置和测试。易配置和测试。e.应应用用层层网网关关有有能能力力支支持持可可靠靠的的拥拥护护认认证证并并提提供供详详细细的的注注册
15、册信信息息。代代理理工工作作在在客客户户机机和和真真实实服服务务器器之之间间,可可提提供供很很详细的日志和安全审计功能。详细的日志和安全审计功能。152.代理服务技术的不足代理服务技术的不足 a.有有限限的的连连接接:某某种种代代理理服服务务器器只只能能用用于于某某种种特特定定的的服服务务,如如FTP服服务务器器提提供供FTP服服务务,Telnet服服务务器器提提供供Telnet服服务务,所所能能提提供供的的服服务务和和可可伸伸缩缩性性是是有有限限的的。所所以以代代理理服服务务器器主主要要应用于安防要求较高但网络流量不太大的环境。应用于安防要求较高但网络流量不太大的环境。b.有有限限的的技技术
16、术:代代理理服服务务器器不不能能为为RPC、Talk和和其其他他一一些基于通用协议簇的服务提供代理。些基于通用协议簇的服务提供代理。16 c.有限的性能:有限的性能:处理性能远不及状态包检测技术高。处理性能远不及状态包检测技术高。d.有有限限的的应应用用:代代理理服服务务器器的的应应用用也也受受到到诸诸多多限限制制。首首先先是是当当一一项项新新的的应应用用加加入入时时,如如果果代代理理服服务务程程序序不不予予支支持持,则则此此应应用用不不能能使使用用。解解决决的的方方法法之之一一是是自自行行编编制制特特定定服服务务的的代理服务程序,但工作量大,而且技术水平要求很高。代理服务程序,但工作量大,而
17、且技术水平要求很高。175.3 防火墙的功能防火墙的功能利用防火墙保护内部网主要有以下几个主要功能:利用防火墙保护内部网主要有以下几个主要功能:p控制对网点的访问和封锁网点信息的泄露控制对网点的访问和封锁网点信息的泄露 防防火火墙墙可可看看作作检检查查点点,所所有有进进出出的的信信息息都都必必须须穿穿过过它它,为为网网络络安安全全起起把把关关作作用用,有有效效地地阻阻挡挡外外来来的的攻攻击击,对对进进出出的的数数据据进进行行监监视视,只只允允许许授授权权的的通通信信通通过过;保保护护网网络络中中脆脆弱弱的的服务。服务。p能限制被保护子网的泄露能限制被保护子网的泄露为为防防止止影影响响一一个个网
18、网段段的的问问题题穿穿过过整整个个网网络络传传播播,防防火火墙墙可可隔隔离离网网络络的的一一个个网网段段和和另另一一个个网网段段,从从而而限限制制了了局局部部网网络络安安全全问问题对整个网络的影响。题对整个网络的影响。18具有审计作用具有审计作用 防防火火墙墙能能有有效效地地记记录录Internet网网的的活活动动,因因为为所所有有传传输输的的信信息息都都必必须须穿穿过过防防火火墙墙,防防火火墙墙能能帮帮助助记记录录有有关关内内部部网网和和外外部网的互访信息和入侵者的任何企图。部网的互访信息和入侵者的任何企图。能强制安全策略能强制安全策略 Internt网网上上的的许许多多服服务务是是不不安安
19、全全的的,防防火火墙墙是是这这些些服服务务的的“交交通通警警察察”,它它执执行行站站点点的的安安全全策策略略,仅仅仅仅允允许许“认认可可”和和符合规则的服务通过。符合规则的服务通过。此外,此外,防火墙还具有其他一些优点,防火墙还具有其他一些优点,如:如:监视网络的安全并产生报警;监视网络的安全并产生报警;保密性好,强化私有权;保密性好,强化私有权;提供加密和解密及便于网络实施密钥管理的能力。提供加密和解密及便于网络实施密钥管理的能力。195.4防火墙的不足防火墙的不足 虽虽然然网网络络防防火火墙墙在在网网络络安安全全中中起起着着不不可可替替代代的的作作用用,但但它不是万能的,有其自身的弱点,主
20、要表现在:它不是万能的,有其自身的弱点,主要表现在:p防火墙不能防火墙不能 防备病毒防备病毒 虽虽然然防防火火墙墙扫扫描描所所有有通通过过的的信信息息,但但扫扫描描多多半半是是针针对对源源与与目目标标地地址址以以及及端端口口号号,而而并并非非数数据据细细节节,有有太太多多类类型型的的病病毒毒和和太太多多种种方方法法可可使使病病毒毒在在数数据据中中隐隐藏藏,防防火火墙墙在在病病毒毒的的防防范上是不适用的。范上是不适用的。p防火墙对不通过它的连接无能为力防火墙对不通过它的连接无能为力 虽虽然然防防火火墙墙能能有有效效的的控控制制所所有有通通过过它它的的信信息息,但但对对从从网网络后门及调制解调器拨
21、人的访问则无能为力。络后门及调制解调器拨人的访问则无能为力。20防火墙不能防备内部人员的攻击防火墙不能防备内部人员的攻击 目目前前防防火火墙墙只只提提供供对对外外部部网网络络用用户户攻攻击击的的防防护护,对对来来自自内内部部网网络络用用户户的的攻攻击击只只能能依依靠靠内内部部网网络络主主机机系系统统的的安安全全性性。所以,如果入侵者来自防火墙的内部,防火墙则无能为力。所以,如果入侵者来自防火墙的内部,防火墙则无能为力。限制有用的网络服务限制有用的网络服务 防防火火墙墙为为了了提提高高被被保保护护网网络络的的安安全全性性,限限制制或或关关闭闭了了很很多多有有用用但但存存在在安安全全缺缺陷陷的的网
22、网络络服服务务。由由于于多多数数网网络络服服务务在在设设计计之之初初根根本本没没有有考考虑虑安安全全性性,所所以以都都存存在在安安全全问问题题。防防火火墙墙限制这些网络服务等于从一个极端走向了另一个极端。限制这些网络服务等于从一个极端走向了另一个极端。21防火墙不能防备新的网络安全问题防火墙不能防备新的网络安全问题 防防火火墙墙是是一一种种被被动动式式的的防防护护手手段段,只只能能对对现现在在已已知知的的网网络络威威胁胁起起作作用用。随随着着网网络络攻攻击击手手段段的的不不断断更更新新和和新新的的网网络络应应用用的的出出现现,不不可可能能靠靠一一次次性性的的防防火火墙墙设设置置来来解解决决永永
23、远远的的网网络络安全问题。安全问题。225.5 防火墙的体系结构防火墙的体系结构 防防火火墙墙可可以以设设置置成成许许多多不不同同的的结结构构,并并提提供供不不同同级级别别的的安安全全,而而维维护护和和运运行行的的费费用用也也不不同同。防防火火墙墙有有多多种种分分类类方方式式。下下面面介介绍绍四四种种常常用用的的体体系系结结构构:筛筛选选路路由由器器、双双网网主主机机式式体体系结构屏蔽主机式体系结构和屏蔽子网式体系结构。系结构屏蔽主机式体系结构和屏蔽子网式体系结构。在介绍之前,先了解几个相关的基本概念:在介绍之前,先了解几个相关的基本概念:l堡堡垒垒主主机机:高高度度暴暴露露于于Interne
24、t并并且且是是网网络络中中最最容容易易受受到到侵侵害害的的主主机机。它它是是防防火火墙墙体体系系的的大大无无畏畏者者,把把敌敌人人的的火火力力吸吸引引到到自自己己身身上上,从从而而达达到到保保护护其其他他主主机机的的目目的的。堡堡垒垒主主机机的的设设计计思思想想是是检检测测点点原原则则,把把整整个个网网络络的的安安全全问问题题集集中中在在某某个个主主机机上上解解决决,从从而而省省时时省省力力,不不用用考考虑虑其其他他主主机机的的安安全全。堡堡垒垒主主机必须有严格的安防系统,因其最容易遭到攻击。机必须有严格的安防系统,因其最容易遭到攻击。23屏屏蔽蔽主主机机:被被放放置置到到屏屏蔽蔽路路由由器器
25、后后面面网网络络上上的的主主机机称称为为屏屏蔽蔽主主机,该主机能被访问的程度取决于路由器的屏蔽规则。机,该主机能被访问的程度取决于路由器的屏蔽规则。屏屏蔽蔽子子网网:位位于于屏屏蔽蔽路路由由器器后后面面的的子子网网,子子网网能能被被访访问问的的程程度度取决于路由器的屏蔽规则。取决于路由器的屏蔽规则。筛选路由式体系结构筛选路由式体系结构这这种种体体系系结结构构极极为为简简单单,路路由由器器作作为为内内部部网网和和外外部部网网的的唯唯一一过过滤设备,如下图所示。滤设备,如下图所示。24防火墙的体系结构防火墙的体系结构内部网内部网外部网外部网p筛选路由器式体系结构筛选路由器式体系结构 包过滤包过滤筛
26、选路由器筛选路由器25p双网主机式体系结构双网主机式体系结构 这这种种体体系系结结构构有有一一主主机机专专门门被被用用作作内内部部网网和和外外部部网网的的分分界界线线。该该主主机机里里插插有有两两块块网网卡卡,分分别别连连接接到到两两个个网网络络。防防火火墙墙里里面面的的系系统统可可以以与与这这台台双双网网主主机机进进行行通通信信,防防火火墙墙外外面面的的系系统统(Internet上上的的系系统统)也也可可以以与与这这台台双双网网主主机机进进行行通通信信,但但防防火火墙墙两两边边的的系系统统之之间间不不能能直直接接进进行行通通信信。另另外外,使使用用此此结结构构,必必须须关关闭闭双双网网主主机
27、机上上的的路路由由分分配配功功能能,这这样样就就不不会会通通过过软件把两个网络连接在一起了。软件把两个网络连接在一起了。图6 双网主机式体系结构内部网内部网外部网外部网双网主机双网主机26屏蔽主机式体系结构屏蔽主机式体系结构 此此类类型型的的防防火火墙墙强强迫迫所所有有的的外外部部主主机机与与一一个个堡堡垒垒主主机机相相连连接接,而而不不让让它它们们直直接接与与内内部部主主机机相相连连。下下图图中中的的屏屏蔽蔽路路由由器实现了把所有外部到内部的连接都路由到了堡垒主机上。器实现了把所有外部到内部的连接都路由到了堡垒主机上。堡堡垒垒主主机机位位于于内内部部网网络络,屏屏蔽蔽路路由由器器联联接接In
28、ternet和和内内部部网络,构成防火墙的第一道防线。网络,构成防火墙的第一道防线。(参见下页图(参见下页图7)图7 屏蔽主机式体系结构27防火墙的体系结构防火墙的体系结构屏蔽主机式体系结构屏蔽主机式体系结构Internet堡垒主机防火墙屏蔽路由器28 屏屏蔽蔽路路由由器器必必须须进进行行适适当当的的配配置置,使使所所有有外外部部到到内内部部的的连连接都路由到了堡垒主机上,并且实现外部到内部的主动连接。接都路由到了堡垒主机上,并且实现外部到内部的主动连接。此此类类型型防防火火墙墙的的安安全全级级别别较较高高,因因为为它它实实现现了了网网络络层层安安全全(屏屏蔽蔽路路由由器器包包过过滤滤)和和应
29、应用用层层安安全全(堡堡垒垒主主机机代代理理服服务务)。入入侵侵者者在在破破坏坏内内部部网网络络的的安安全全性性之之前前,必必须须首首先先渗渗透透两两种种不不同同的安全系统。的安全系统。即即使使入入侵侵了了内内部部网网络络,也也必必须须和和堡堡垒垒主主机机相相竞竞争争,而而堡堡垒垒主主机机是是安安全全性性很很高高的的机机器器,主主机机上上没没有有任任何何入入侵侵者者可可以以利利用用的的工具,不能作为黑客进一步入侵的基地。工具,不能作为黑客进一步入侵的基地。此此类类型型防防火火墙墙中中屏屏蔽蔽路路由由器器的的配配置置十十分分重重要要,如如果果路路由由表表遭遭到到破破坏坏,则则数数据据包包不不会会
30、路路由由到到堡堡垒垒主主机机上上,使使堡堡垒垒主主机机被被越越过。过。29p屏蔽子网屏蔽子网(ScreenedSubNet)式体系结构式体系结构 这这种种体体系系结结构构本本质质上上与与屏屏蔽蔽主主机机体体系系结结构构一一样样,但但是是增增加加了了一一层层保保护护体体系系周周边边网网络络,而而堡堡垒垒主主机机位位于于周周边边网网络络上,周边网络和内部网络被内部屏蔽路由器分开。上,周边网络和内部网络被内部屏蔽路由器分开。由由前前可可知知,当当堡堡垒垒主主机机被被人人侵侵之之后后,整整个个内内部部网网络络就就处处于于危危险险之之中中,堡堡垒垒主主机机是是最最易易受受侵侵袭袭的的,虽虽然然其其很很坚
31、坚固固,不不易易被被入入侵侵者者控控制制,但但万万一一被被控控制制,仍仍有有可可能能侵侵袭袭内内部部网网络络。如如果果采采用用了了屏屏蔽蔽子子网网(ScreenedSubNet)式式体体系系结结构构,入入侵侵者者将将不不能能直直接接侵侵袭袭内内部部网网络络,因因为为内内部部网网络络受受到到了了内内部部屏屏蔽蔽路路由器的保护。由器的保护。屏蔽子网式体系结构如下图所示。屏蔽子网式体系结构如下图所示。图8 屏蔽子网式体系结构30防火墙的体系结构防火墙的体系结构屏蔽子网式体系结构屏蔽子网式体系结构Internet堡垒主机屏蔽路由器屏蔽路由器周边网络315.6 防火墙的构筑原则防火墙的构筑原则构筑防火墙
32、主要从以下几个方面考虑:构筑防火墙主要从以下几个方面考虑:l 体系结构的设计;体系结构的设计;l 安全策略的制订;安全策略的制订;l 安全策略的实施。安全策略的实施。325.7防火墙产品防火墙产品pJuniper公司的公司的Netscreen防火墙产品防火墙产品 Netscreen防防火火墙墙可可以以说说是是硬硬件件防防火火墙墙领领域域内内的的领领导导者者。2004年年2月月,Netscreen被被网网络络设设备备巨巨头头Juniper收收购购,成成为为Juniper的的安安全全产产品品部部,两两家家公公司司合合并并后后将将与与Cisco展展开开激激烈烈的的竟竟争争。Netscreen的的产产
33、品品完完全全基基于于硬硬件件ASIC芯芯片片,它它就就像像个个盒子一样安装使用起来很简单。盒子一样安装使用起来很简单。产产品品系系列列:Netscreen5000产产品品系系列列是是定定制制化化、高高性性能能的的安安全全系系统统,适适用用于于高高端端用用户户。Netscreen-500集集防防火火墙墙、VPN及及流流量量管管理理等等功功能能于于一一体体,是是一一款款高高性性能能的的产产品品,支支持持多多个个安安全全域域,适适用用于于中中高高端端用用户户。其其中中端端产产品品主主要要有有:Netscreen204、Netscreen208。33低端产品有:低端产品有:NetScreen50、Ne
34、tscreen25。NetscreenGlobalSecurityManagement(集集群群防防火火墙墙集集中中管管理理软软件件)提提供供了了服服务务提提供供商商和和企企业业所所需需要要的的用用来来管管理理所所有有Netscreen产产品品的的特特性性。与与防防毒毒领领袖袖厂厂商商TrendMicro合合作作推推出出的的Netscreen-5GT集集成成防防火火墙墙/VPN/DoS保保护护功功能能并并提提供供了了内内置置的的病病毒毒扫扫描描功能。功能。主要特色:主要特色:34 a.专专用用的的网网络络安安全全整整合合式式设设备备:高高性性能能安安全全产产品品,集集成成防火墙、防火墙、VPN
35、和流量管理功能,性能优越。和流量管理功能,性能优越。b.产产品品线线完完整整,能能满满足足各各大大小小商商业业需需求求:适适用用于于包包括括宽宽带带接接入入的的移移动动用用户户,小小型型、中中型型或或大大型型企企业业,高高流流量量的的电电子子商务网站,以及其他网络安全的环境。商务网站,以及其他网络安全的环境。c.安安装装和和管管理理:通通过过使使用用内内置置的的WebUI界界面面、命命令令行行界界面面和和Netscreen中中央央管管理理方方案案,在在几几分分钟钟内内完完成成安安装装和和管管理理,并且可以快速实施到数千台设备上。并且可以快速实施到数千台设备上。d.通通用用性性:所所有有设设备备
36、都都提提供供相相同同核核心心功功能能和和管管理理界界面面,便于管理和操作。便于管理和操作。35p CyberwallPlus系列防火墙系列防火墙 CyberwallPlus系系列列防防火火墙墙是是由由网网屹屹(Network1)公公司司开开发,是基于软件的防火墙。发,是基于软件的防火墙。Cyberwallplus家家族族由由四四种种系系列列防防火火墙墙产产品品和和中中心心的的管管理理器器组组成成,提提供供全全方方位位的的保保护护。它它们们分分别别是是CyberwallPLUSSV保保护护服服务务器器防防火火墙墙;CyberwallPLUSWS保保护护工工作作站站防防火火墙墙;Cyberwall
37、PLUS-IP边边界界防防火火墙墙;CyberwallPLUSAP多协议防火墙及多协议防火墙及CyberwallPLUSCM集中管理产品。集中管理产品。36 a.CyberwallPLUS-SV和和CyberwallPLUSWS是是为为分分别别保保护护与与互互联联网网或或企企业业网网相相连连的的Windows服服务务器器和和工工作作站站而而设设计计的的,它它以以先先进进的的信信息息包包过过滤滤技技术术为为基基础础,提提供供周周密密的的网网络络访访问问控控制制、优优化化主主机机入入侵侵检检测测、防防止止入入侵侵算算法法和和详详细细的的流流量量审审核核日日志志。CyberwallPlusAP是是高
38、高速速的的局局域域网网防防火火墙墙,是是为为满足不断增长的内部网络安全需要而设计的。满足不断增长的内部网络安全需要而设计的。37 b.CyberwallPlus-AP运运 行行 在在 装装 有有 两两 个个 以以 太太 网网 卡卡WindowsNT/2000的的系系统统上上,帮帮助助用用户户的的计计算算机机网网络络抵抵御御恶恶意意的的网网络络访访问问和和入入侵侵。CyberwallPlus-AP是是一一个个有有两两个个端端口口的的系系统统,以以透透明明的的网网桥桥模模式式工工作作,而而不不像像大大多多数数防防火火墙墙是是路路由由 模模 式式,能能 够够 接接 受受、过过 滤滤 4500余余 种
39、种 IP和和 非非 IP协协 议议。CyberwallPinsAP设设计计简简单单、有有效效,应应用用时时不不需需要要破破坏坏现现有有的的网网络络地地址址或或重重新新配配置置网网络络,甚甚至至可可以以放放在在同同一一IP子子网网的的节节点之间。点之间。38 c.CyberwallPlusIP是是保保护护专专有有网网络络抵抵御御攻攻击击和和入入侵侵的的互互联联网网防防火火墙墙,位位于于网网络络的的周周边边,保保护护进进出出公公共共互互联联网网流流量量的的安安全全,是是一一个个高高经经济济效效益益的的网网络络安安全全解解决决方方案案,提提供供多多层层次次的的包包过过滤滤检检测测,阻阻止止未未授授权
40、权的的网网络络访访问问。CyberwallPlusIP作作为为先先进进的的防防火火墙墙解解决决方方案案系系列列的的一一员员,为为用用户户提提供供强强有有力力的的安安全全保保护护功功能能,它它具具备备高高度度的的灵灵活活性性、可可伸伸缩缩性性,可可以以很好地适应用户对未来安全需求的变化。很好地适应用户对未来安全需求的变化。39p CheckPoint防火墙防火墙 作作为为CheckPoint软软件件技技术术有有限限公公司司网网络络安安全全性性产产品品线线中中最最为为重重要要的的产产品品。CheckPointTMFireWall-1是是业业界界领领先先的的企企业业级级安安全全性性套套件件,它它集集
41、成成了了访访问问控控制制、认认证证、加加密密、网网络络地地址翻译、内容安全性和日志审核等特性。址翻译、内容安全性和日志审核等特性。a.FireWall-1通通过过分分布布式式的的客客户户机机/服服务务器器结结构构管管理理安安全全策略,保证高性能、高伸缩性和集中控制。策略,保证高性能、高伸缩性和集中控制。b.FireWalll由由基基本本模模块块(防防火火墙墙模模块块、状状态态检检测测模模块块和和管管理理模模块块)和和一一些些可可选选模模块块组组成成。这这些些模模块块可可以以通通过过不不同同数数量量、平台的组合配置成灵活的客户机平台的组合配置成灵活的客户机/服务器结构。服务器结构。40 c.Fi
42、reWallc.FireWall 1 1采采 用用 CheckPoint公公 司司 的的 状状 态态 检检 测测(StatefulInspection)专专利利技技术术,以以不不同同的的服服务务区区分分应应用用类类型型,为网络提供高安全、高性能和高扩展性保证。为网络提供高安全、高性能和高扩展性保证。d.Firewalld.Firewall1 1状状态态检检测测模模块块分分析析所所有有的的包包通通信信层层,汲汲取取相相关关的的通通信信和和应应用用程程序序的的状状态态信信息息。状状态态检检测测模模块块能能够够理理解解并学习各种协议和应用,以支持各种最新的应用。并学习各种协议和应用,以支持各种最新的
43、应用。e.Firewalle.Firewall1 1可可以以在在不不修修改改本本地地服服务务器器或或客客户户应应用用程程序序的的情情况况下下,对对试试图图访访问问内内部部服服务务器器的的用用户户进进行行身身份份认认证证。FireWall-1的的认认证证服服务务集集成成在在其其安安全全策策略略中中,通通过过图图形形用用户户界界面集中管理,通过日志管理器监视、跟踪认证会话。面集中管理,通过日志管理器监视、跟踪认证会话。41思科安全思科安全PIX防火墙防火墙 CiscoSecurePIX防防火火墙墙基基于于包包过过滤滤和和应应用用代代理理两两种种主主流流防防火火墙墙技技术术的的基基础础上上,提提供供
44、空空前前的的安安全全保保护护能能力力,它它的的保保护护机机制制的的核核心心是是能能够够提提供供面面向向静静态态连连接接防防火火墙墙功功能能的的自自适适应应安安全全算算法法(ASA)。ASA自自适适应应安安全全算算法法与与包包过过滤滤相相比比,功功能能更更加加强强劲劲;另另外外,ASA与与应应用用层层代代理理防防火火墙墙相相比比,其其性性能能更更高高,扩扩展展性性更更强强。ASA可可以以跟跟踪踪源源和和目目的的地地址址、传传输输控控制制协协议议(TCP)序序列列号号、端端口口号号和和每每个个数数据据包包的的附附加加TCP标标志志。只只有有存存在在已已确确定定连连接接关关系系的的正正确确的的连连接
45、接时时,访访问问才才被被允允许许通通过过PLX防防火火墙墙。这这样样,内内部部和和外外部部的的授授权权用用户户就就可可以以透透明明地地访访问问企企业业资资源源,同同时时保保护护内内部部网网络络不不会会受受到到非非授授权权访访问问的的侵侵袭袭。关于关于ASA算法详情请访问算法详情请访问http:/42 以以PIXFirewall515为例,思科防火墙具有以下一些关键特性:为例,思科防火墙具有以下一些关键特性:a.非常高的性能。非常高的性能。b.实时嵌入式操作系统。实时嵌入式操作系统。c.位位于于企企业业网网络络和和ienet访访问问路路由由器器之之间间,并并包包括括以以太太网网、快快速以太网、令
46、牌环网或速以太网、令牌环网或FDDILAN连接选项。连接选项。d.保保护护模模式式基基于于自自适适应应安安全全算算法法(ASA),可可以以确确保保最最高高的的安安全性。全性。43 e.用于验证和授权的用于验证和授权的“直通代理直通代理”技术。技术。f.URL过滤。过滤。g.HPOpenView集成。集成。h.用于配置和管理的图形用户界面。用于配置和管理的图形用户界面。i.通过电子邮件和寻呼机提供报警和告警通知。通过电子邮件和寻呼机提供报警和告警通知。j.通过专用链路加密卡提供通过专用链路加密卡提供VPN支持。支持。k.符符合合委委托托技技术术评评估估计计划划(TTAR),通通过过美美国国安安全
47、全事事务务处处(NSA)的认证。的认证。44p 天融信公司的网络卫土天融信公司的网络卫土 网网络络卫卫士士是是我我国国第第一一套套自自主主知知识识产产权权的的防防火火墙墙系系统统,是是一一种种基基于于硬硬件件的的防防火火墙墙,目目前前有有NGFW3000、NGFW4000、NGFW4000UF、NGFWARES几款产品。几款产品。网网络络卫卫士士防防火火墙墙由由多多个个模模块块组组成成,包包括括包包过过滤滤、应应用用代代理理、NAT、VPN、防防攻攻击击等等功功能能模模块块,各各模模块块可可分分离离、裁裁剪剪和和升升级级,以以满满足足不不同同用用户户的的需需求求。管管理理器器的的硬硬件件平平台
48、台为为能能运运行行Netscape4.0浏浏览览器器的的Intel兼兼容容微微机机,软软件件平平台台采采用用Win9x操作系统。操作系统。主主要要特特色色:采采用用了了领领先先一一步步的的SSN(安安全全服服务务器器网网络络)技技术术,安安全全性性高高于于其其他他防防火火墙墙普普遍遍采采用用的的DMZ(非非军军事事区区)技技术术。SSN与与外外部部网网之之间间有有防防火火墙墙保保护护,与与内内部部网网之之间间也也有有防防火火墙墙保保护护,一一旦旦SSN受受到到破破坏坏,内内部部网网络络仍仍会会处处于于防防火火墙墙的的保保护护之下。之下。45 网网络络卫卫士士防防火火墙墙系系统统集集中中了了包包
49、过过滤滤防防火火墙墙、应应用用代代理理、网网络络地地址址转转换换(NAT)、用用户户身身份份鉴鉴别别、虚虚拟拟专专用用网网、Web页页面面保保护护、用用户户权权限限控控制制、安安全全审审计计、攻攻击击检检测测、流流量量控控制制与与计计费费等等功功能能,可可以以为为不不同同类类型型的的Internet接接入入网网络络提提供供全全方方位位的的网网络络安安全全服服务务。该该系系统统在在增增强强传传统统防防火火墙墙安安全全性性的的同同时时,还还通通过过VPN架架构构,为为企企业业网网提提供供一一整整套套从从网网络络层层到到应应用用层层的的安安全全解解决决方方案案,包包括括访访问问控控制制、身身份份验验
50、证证、授授权权控控制制、数数据据加密、数据完整性等安全服务。加密、数据完整性等安全服务。46p 清华紫光网联科技的清华紫光网联科技的UF3100/UF3500防火墙防火墙UF3100/UF3500是是一一种种基基于于硬硬件件的的防防火火墙墙,兼兼具具防防火火墙墙和和流流量量控控制制等等功功能能,无无丢丢包包数数据据通通过过率率达达50Mbps,可可以以支支持持T3线线路路甚甚至至局局域域网网间间的的流流量量要要求求。UF3100/UF3500结结构构紧紧凑凑(设设计计高高度度仅仅1U),可可放放置置在在桌桌面面或或安安装装在在标标准准机机架架上上,是是为为机机关关或或企企业网内的数据提供最安全