返回
网络与信息安全(第二版) 第13章 防火墙技术

网络与信息安全(第二版) 第13章 防火墙技术

ID:40336413

大小:2.51 MB

页数:34页

时间:2019-07-31

网络与信息安全(第二版) 第13章 防火墙技术_第1页
网络与信息安全(第二版) 第13章 防火墙技术_第2页
网络与信息安全(第二版) 第13章 防火墙技术_第3页
网络与信息安全(第二版) 第13章 防火墙技术_第4页
网络与信息安全(第二版) 第13章 防火墙技术_第5页
资源描述:

《网络与信息安全(第二版) 第13章 防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第13章防火墙技术第13章防火墙技术谈到网络安全,首先想到的一般就是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的基础和核心控制设备,在网络安全中具有举足轻重的地位。13.1防火墙基本概念防火墙作为网络防护的第一道防线,它由软件或/和硬件设备组合而成,它位于企业或网络群体计算机与外界网络的边界,限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。13.2.1包过滤防火墙包是网络上信息流动的基本单位,它由数据负载和协议头两个部分组成。包过滤是基于协议头的内容

2、进行过滤的。13.2防火墙的类型13.2.2应用代理防火墙真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据。13.2.3电路级网关型防火墙电路级网关型防火墙起一定的代理服务作用,它监视两台主机建立连接时的握手信息,从而判断该会话请求是否合法,一旦会话连接有效,该网关仅复制、传递数据。13.2.4状态检测防火墙状态包检测模式增加了更多的包和包之间的安全上下文检查,以达到与应用级代理防火墙相类似的安全性能。13.3防火墙在网络上的设置13.3.1单防火墙结构1.屏蔽防火墙2.单DMZ防火墙3.多DMZ防

3、火墙13.3.2双防火墙结构13.4防火墙基本技术13.4.1包过滤技术用来生成规则进行过滤的包头部信息通常都包括以下信息:(1)接口和方向。(2)源和目的IP地址。(3)IP选项。(4)高层协议。(5)TCP包的ACK位检查。(6)ICMP的报文类型。(7)TCP和UDP包的源和目的端口。1.用于包过滤的IP头信息IP地址所有防火墙都具有IP地址过滤功能。这项任务就是要检查IP包头,根据其IP源地址和目标地址作出放行/禁止决定。规则方向源IP地址目的IP地址动作1流入172.21.94.0/24*拒绝2***允许2.协议字段这一字段定义了

4、包负载所使用的协议。例如,可以是TCP和UDP两种因特网上常用的协议,也可以是诸如ICMP等其它协议。通常,承载ICMP数据的包都应丢弃,因为ICMP数据将会告知对方本网内部的信息。规则方向协议字段动作1*1拒绝2**允许(3)IP包分片与选项字段另一个IP包过滤要注意的是IP包分片与其他选项字段,它们都有可能导致某些攻击,而且现在IP包分片与选项字段用得越来越少,因此可以拒绝这样的IP包。2.用于包过滤的TCP头信息控制SMTP连接流入和流出的例子,规则2和规则4允许大于端口1023的所有服务,不论是流入还是流出方向。黑客可以利用这一个漏

5、洞去做各种事情。规则方向协议源地址目的地址目的端口动作1流入TCP外部内部25允许2流出TCP内部外部>=1024允许3流出TCP内部外部25允许4流入TCP外部内部>=1024允许5*****禁止改进以后的例子,指定了源端口。规则方向协议源地址目的地址源端口目的端口动作1流入TCP外部内部>=102425允许2流出TCP内部外部25>=1024允许3流出TCP内部外部>=102425允许4流入TCP外部内部25>=1024允许5******禁止在TCP协议头中,有一个控制比特位:SYN。在三次握手建立连接期间,需要指明对序列号进行同步时,

6、这一同步位要置1。有一种常见的攻击是拒绝服务攻击,SYN洪水就是这样的一种攻击。它不做其它的事情,黑客只是不断发送SYN位已经置1的包,这样目标主机就要浪费宝贵的CPU周期建立连接,并且分配内存。检查SYN位虽然不可能过滤所有SYN位已经置1的包,但是可以监视日志文件,发现不断发送这类包的主机以便让那些主机不能通过防火墙。检查ACK位,防火墙只允许内部客户访问外部Web服务器,反之则禁止。规则方向协议源地址目的地址源端口目的端口ACK位动作1流出TCP内部外部≥102480均可允许2流入TCP外部内部80≥1024置1允许3*******禁

7、止ICMP数据很有用,但也很有可能被利用来收集网络的有关信息,我们必须加以区别对待。防火墙的一个重要功能就是让外部不能得到网络内部主机的信息。因为这一点,需要阻止以下几种报文类型:●流入的echo请求和流出的echo响应——允许内部用户使用ping命令测试外部主机的连通性,但不允许相反方向的类似报文。●流入的重定向报文——这些信息可以用来重新配置网络的路由表。●流出的目的不可到达报文和流出的服务不可用报文——不允许任何人刺探网络。通过找出那些不可到达或那些不可提供的服务,黑客就更加容易锁定攻击目标。包过滤器是建立防火墙的第一步。与代理服务器

8、相比较,包过滤器有其优缺点。以下是包过滤器的一些优点:●包过滤是“免费的”。如果己经有了路由器,它很可能支持包过滤。在小型局域网内,单个路由器用作包过滤器足够了。●理论上只需要在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。