这是防火墙介绍的ppt,包括了网络安全现状,防火墙概念,防火墙关键技术,防火墙功能一览,防火墙性能指标,防火墙发展及趋势等内容,欢迎点击下载。
防火墙介绍的ppt是由红软PPT下载网推荐的一款课件PPT类型的PowerPoint.
随着信息化进程的深入和互联网的迅速发展,网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出。具体表现为:
计算机系统受病毒感染和破坏的情况相当严重
电脑黑客活动已形成重要威胁
信息基础设施面临网络安全的挑战
信息系统在预测、防范、反应和恢复能力方面存在许多薄弱环节
据统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。
2003年,CSI/FBI调查所接触的524个组织中,有56%遇到电脑安全事件,其中38%遇到1~5起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。调查显示,521个接受调查的组织中96%有网站,其中30%提供电子商务服务,这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。更令人不安的是,有33%的组织说他们不知道自己的网站是否受到损害。据统计,全球平均每20s就发生1次网上入侵事件,黑客一旦找到系统的薄弱环节,所有用户均会遭殃。
从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。
近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。
业内安全专家公认:所谓的“周界杀手”蠕虫和“零日攻击”将大量增加,这将是目前及今后网络安全面临的最大威胁。
(“周界杀手”:那些不通过传统的电子邮件方式传播而是通过进攻系统、软件的漏洞而对网络实施攻击的病毒软件)
(“零日攻击”: 病毒或蠕虫利用操作系统或者软件某个未知和未修补的漏洞发起攻击)
基于“零日”漏洞而制造的一种“冲击波”式的蠕虫可以毁坏计算机网络,并使管理人员对网络保护束手无策。
基于目前网络安全的现状,为了保证网络的安全,防止机密信息被盗取,各企业、政府机关、高校等均纷纷采取相应的安全措施,而防火墙则一般是众多网络安全产品中首要考虑的重要一环,是网络的第一道安全门坎。
软件防火墙:纯软件防火墙,安装在操作系统之上
硬件防火墙:硬件/软件一体化防火墙(X86结构)、ASIC芯片级防火墙、网络处理器(Network Processor,NP处理器)架构防火墙
网关防火墙:边界防火墙,部署于网络边界出口处
个人防火墙:多为软件防火墙,安装在单个主机系统上
分布式防火墙:包括边界防火墙、主机防火墙以及集中管理平台,把防火墙的安全防护系统延伸到网络中各台主机,准确地说,它不是一个单一的产品,而是一个完整的体系
包过滤防火墙:基本包过滤访问控制功能,安全性差
应用代理防火墙:应用代理功能,支持应用层内容级控制,但是支持协议有限
状态检测防火墙:跟踪网络会话状态实现访问控制,性能好,安全性高
复合型防火墙:结合状态检测、应用代理以及众多其他功能,功能强大,安全性高
TCP/UDP目的端口
(二)状态检测工作原理
TCP/UDP目的端口
UDP/ICMP通信的通信状态
(三)应用代理的工作原理
网络地址转换,Network Address Translation,简称NAT,是用于将一个地址域如专用Intranet映射到另一个地址域如Internet的标准方法。NAT对终端用户是透明的,用于全球唯一注册地址连接私有地址域到外部域。
RFC1597 “专用网络地址分配”规定,以下地址为保留地址,路由器不在互联网上对这些地址进行路由选择:
-10.0.0.0-10.255.255.255
-172.16.0.0-172.31.255.255
-192.168.0.0-192.168.255.255
一般在内部网络均选用以上保留地址作为私有地址进行NAT,转换成合法注册地址访问互联网。
NAT技术有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port-Level NAT)
静态NAT:内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址(一个公有地址对应一个私有地址 )
动态NAT:在外部网络中定义了一系列的合法地址,采用动态分配的方法分配给内部网络私有地址(多个公有地址对应一大群私有地址)
NAPT:把内部地址映射到外部网络的一个IP地址的不同端口上(一个公有地址对应一大群私有地址)
解决IP地址不足的问题
隐藏内部网络的网络结构,加强内部网络的安全
吞吐量:吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越大,说明防火墙数据处理能力越强
延迟:延迟是指防火墙转发数据包的延迟时间,延迟越低,防火墙数据处理速度越快
丢包率:丢包率是指在正常稳定网络状态下,应该被转发由于缺少资源而没有被转发的数据包占全部数据包 的百分比。较低的丢包率,意味着防火墙在强大的负载压力下,能够稳定地工作,以适应各种网络的复杂应用和较大数据流量对处理性能的高要求
背对背(Back to Back):是用于衡量网络设备缓冲数据包能力的一个指标,指的是固定长度的数据帧以合法的最小帧间隔在传输媒介上突发一段较短的时间(以太网标准规定最小帧间隔为96bits),一般以帧数多少来表示,背对背帧数越大,缓冲能力就越强。网络上经常有一些 应用会产生大量的突发数据包(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会 产生更多的数据包,防火墙强大的缓冲能力可以减小这种突发数据对网络造成拥塞等不良影响
并发连接数:并发连接数是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数
最大连接速率:是指在指定时间(比如1秒)内防火墙能成功建立的最大连接数目
乍看并发连接数越大越好,其实不然:
并发连接数的增大意味着对系统内存资源的消耗
并发连接数的增大应当充分考虑CPU的处理能力
物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力
目前防火墙技术主要经历了四个发展历程:
状态检测包过滤技术阶段
第一代简单包过滤防火墙
包过滤工作在网络层和传输层,只对数据包的头部信息进行控制,过滤效率较高,性能较好
早期的包过滤技术无法分辨IP具体来源,即无法区分该IP处于内部网络还是外部网络,这样便不能防止IP欺骗
只对数据包的头部信息进行过滤,不支持应用层协议,访问控制粒度粗糙,灵活性低
不能处理新的安全威胁,它不能跟踪TCP状态,所以对TCP层的控制有漏洞。比如当它配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙
跟应用层紧密结合,可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强,具备应用层内容级的高级访问控制能力,安全性较高
并发连接数低,吞吐量小,性能非常差。对于内网的每个访问请求,应用代理都需要开一个单独的代理进程;要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常访问难以及时