第二章防火墙技术

1、发展的规模 (6)组织训练消防队伍 (7)配备相应的消防器材,第一节 防火基本知识,二、生产中的火灾危险性根据物料的理化性质及其火灾爆炸危险 程度，反应中所用物质的数量，采取的反 应温度、压力以及使用密闭还是敞开设备 进行生产操作等条件，火灾危险性分为五 类。
,第一节 防火基本知识,三、建筑材料及构件的防火性能 1.建筑材料及构件的燃烧性能 (1)建筑材料的燃烧性能 (2)建筑构件的燃烧性能,第一节 防火基本知识,2.建筑物耐火极限对任意建筑构件进行耐火试验，从受到 火的作用开始，到失去支撑力，或完整性 受到破坏，或失去隔火作用止的时间。
,第一节 防火基本知识,3.耐火等级耐火等级由组成建筑物的所有构件的耐 火性决定的，即是由组成建筑物的墙、柱、 梁、楼板等主要构件的燃烧性能和耐火极 限决定的。
确定耐火极限的考虑因素：(1)建筑物的重要性; (2)建筑物的火灾危险性; (3)建筑物的高度; (4)建筑物的火灾荷载。
,第二节 防火安全设计,防火安全设计主要可以概括为两个方面： (1)考虑总体布局、厂址选择和厂区总平面的配置； (2)建筑防火设计。
,第二节 防火安全设计,1.厂址选择与总。

2、1 相关概念,其它概念: 外部网络（外网） 内部网络（内网） 非军事化区（DMZ） 包过滤 代理服务器 状态检测技术 虚拟专用网（VPN） 漏洞 数据驱动攻击 IP地址欺骗,8.1.1 相关概念,防火墙安全策略 一个防火墙应该使用以下两种基本策略中的一种: 除非明确允许，否则就禁止除非明确禁止，否则就允许,8.1.2 防火墙的作用,防火墙的基本功能 从总体上看，防火墙应具有以下基本功能： 可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户； 防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警； 限制内部用户访问特殊站点； 记录通过防火墙的信息内容和活动，监视Internet安全提供方便。
,8.1.3 防火墙的优、缺点,1优点防火墙是加强网络安全的一种有效手段，它有以下优点： 防火墙能强化安全策略； 防火墙能有效地记录Internet上的活动； 防火墙是一个安全策略的检查站。
,8.1.3 防火墙的优、缺点,2缺点有人认为只要安装了防火墙，所有的安全问题就会迎刃而解。
但事实上，防火墙并不是万能的，安装了防火墙的系统仍然存在着安全隐患。
以下是防火墙的一些缺点： 不。

3、吗？,防火墙分类,按照形态分为硬件防火墙软件防火墙按照保护对象分为单机防火墙网络防火墙按照访问控制方式分为包过滤防火墙代理防火墙状态检测防火墙,防火墙分类 包过滤防火墙,只检测报头,1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据,防火墙分类 代理防火墙,发送连接请求,外网终端,代理防火墙,内网Server,向Server发送报文A,对请求进行安全检查，不通过则阻断连接,通过检查后与Server建立连接,通过检查后与Client建立连接,向防火墙发送报文A,向防火墙发送回应报文B,向终端发送回应报文B,1.处理速度慢2.升级困难,防火墙分类 状态检测防火墙,Host 10.0.0.1,Server 20.0.0.1,安全策略检查记录会话信息,状态错误，丢弃,1.处理后续包速度快2.安全性高,防火墙硬件平台分类,Intel X86适用于百兆网络，受CPU处理能力和PCI总线速度的限制,NP网络处理器是专门为处理数据包而设计的可编程处理器，是X。

4、推动了网络体系标准化。
OSI参考模型的一个很重要特性就是它采用的是分层体系结构，OSI参考模型共划分为七层。
,2.1 OSI七层模型,下一页,返回,总结起来，OSI七层参考模型具有以下优点： 简化了相关的网络操作。
提供即插即用的兼容性和不同厂商之间的标准接口。
使各个厂商能够设计出具备互操作性的网络设备，加快数据通信网络发展。
防止一个区域网络发生的变化移向另一个区域的网络，因此，每一个区域的网络都能够单独快速升级。
把复杂的网络问题分解成小的简单问题，易于学习和操作。
,2.1 OSI七层模型,下一页,返回,上一页,2.1.2 OSI模型层次结构及各层功能 OSI参考模型的七层分别是：第一层物理层（Physical Layer）、第二层数据链路层（Data Link Layer）、第三层网络层（Network Layer）、第四层传输层（Transport Layer）、第五层会话层（Session Layer）、第六层表示层（Presentation Layer）和第七层应用层（Application Layer），如图2 1所示。
OSI七层参考模型是建。

5、信息安全。
其目的在于保护网络系统中的硬件、软件以及数据，不因偶然的或者恶意的原因而遭到破坏、更改、泄露；保证系统能够连续可靠地运行、网络服务不中断。
从广义来说：凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域,1.1 网络安全概述（4）,网络安全涉及到的内容： 安全技术。
包括防火墙技术、数据加密技术、入侵检测技术、防病毒技术、安全策略和风险评估技术、容灾技术等。
安全管理。
安全管理侧重于内部人为因素的管理，通过制定严格的安全管理制度、法律约束和安全教育，提高人们的网络安全意识，从另一个角度来保护网络的安全。
,1.1 网络安全概述（）,网络安全面临的威胁： 黑客犯罪 计算机病毒 人为失误 自然灾害或意外事故,1.1 网络安全概述（）,网络安全应满足的目标：,1.2 Internet协议的安全性分析,Internet是不安全的，这是因为： Internet是一个开放的信息共享系统，它不属于任何一个国家或组织，缺乏集中式统一管理，因此，其安全性也无法保证。
TCP/IP协议作为Internet的基础，本身存在着安全性问题。

6、isco PIX和ASA,Cisco安全设备提供了企业级别的安全,其可以用于小型,中型的商务公司和企业网络: 专用的操作系统 状态包检测 基于用户的认证 协议和应用的检测 模块化的策略框架 虚拟防火墙特性 虚拟私用网络VPN Failover特性 透明防火墙 基于WEB的管理解决方案,状态包检测,状态包检测提供了状态型连接安全性. 其跟踪源和目标端口和地址,TCP的序列号和附加的TCP的标记. 为每个连接随机产生的TCP的序列号默认情况下,状态包检测算法允许起源自内网主机的通讯. 另外,状态包检测算法会丢弃来自外部不安全网络的连接数据包 状态包检测算法同时还支持认证,授权和计费高级特性.,Cut-Through Proxy Operation,内网或外 网用户,ISP,1. 用户向ISP发起请求.,2. 安全代理检测连接.,3. 在安全设备层,安全代理提示用户提供帐号和密码.随后安全代理通过RADIUS或TACACS+服务器对用户进行认证.,5. 安全设备直接连接到内网或外网的用户到ISP.其通讯处于OSI模型的低层.,4. 安全代理初始化到ISP的连接.,Cisco Secu。