返回
网络安全技术与实训 第2版 杨文虎 李飞飞 第7章 防火墙

网络安全技术与实训 第2版 杨文虎 李飞飞 第7章 防火墙

ID:43767388

大小:4.05 MB

页数:275页

时间:2019-10-14

网络安全技术与实训 第2版 杨文虎 李飞飞 第7章 防火墙_第1页
网络安全技术与实训 第2版 杨文虎 李飞飞 第7章 防火墙_第2页
网络安全技术与实训 第2版 杨文虎 李飞飞 第7章 防火墙_第3页
网络安全技术与实训 第2版 杨文虎 李飞飞 第7章 防火墙_第4页
网络安全技术与实训 第2版 杨文虎 李飞飞 第7章 防火墙_第5页
资源描述:

《网络安全技术与实训 第2版 杨文虎 李飞飞 第7章 防火墙》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第7章防火墙防火墙概述7.1防火墙的分类7.2防火墙的应用7.3ISAServer防火墙7.4本章学习要点掌握防火墙的功能和分类掌握防火墙的体系结构了解防火墙的主要应用掌握ISA软件防火墙的使用和策略配置7.1防火墙概述7.1.1防火墙的基本概念古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到其他寓所。自然,这种墙因此而得名“防火墙”。现在,如果一个网络接到了Internet上,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Inte

2、rnet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做“防火墙”或“防火墙系统”。图7.1防火墙应用示意图7.1.2防火墙的功能①网络安全的屏障②强化网络安全策略③对网络存取和访问进行监控和审计④防止内部信息的外涉:⑤实现VPN的连接7.1.3防火墙的规则防火墙的安全规则由匹配条件和处理方式两部分组成。其中匹配条件如表7.1所示,处理方式采取表7.2所示的选项。在此基础上,所有防火墙产品都会采取以下两种基本策略。【

3、一切未被允许的就是禁止的】又称为“默认拒绝”,防火墙封锁所有信息流,然后对希望提供的服务逐项开放,即采取Accept处理方式。采取该策略的防火墙具备很高的安全性,但是也限制了用户所能使用的服务种类,缺乏使用灵活性。【一切未被禁止的就是允许的】又称为“默认允许”,防火墙应转发所有的信息流,然后逐项屏蔽可能有威胁的服务,即采取Reject或Drop处理方式。采取该策略的防火墙使用较为方便,规则配置灵活,但缺乏安全性。防火墙处于网络层数据包的源IP地址、目的IP地址以及协议防火墙处于传输层TCP或UDP数据单元的源端口号、目的

4、端口号防火墙处于应用层各种应用协议信息流向内/向外:通过防火墙向内/外网发送数据包表7.1防火墙匹配条件列表允许(Accept)允许包或信息通过拒绝(Reject)拒绝包或信息通过,并通知信源信息被禁止丢弃(Drop)直接将数据包或信息丢弃,并不通知信源信息被禁止表7.2防火墙处理方式列表7.2防火墙的分类7.2.1按实现方式分类1.硬件防火墙2.软件防火墙7.2.2按使用技术分类1.静态包过滤2.状态检测包过滤7.2.3防火墙的选择(1)要考虑网络结构(2)要考虑业务应用系统需求(3)要考虑用户及通信流量规模方面的需求

5、7.3防火墙的应用7.3.1防火墙在网络中的应用模式1.双宿/多宿主机模式图7.2双宿/多宿主机模式示意图2.屏蔽主机模式图7.3屏蔽主机模式示意图3.屏蔽子网模式图7.4屏蔽子网模式示意图7.3.2防火墙的工作模式1.路由工作模式图7.5防火墙路由模式工作示意图2.透明工作模式图7.6防火墙透明模式工作示意图3.NAT工作模式图7.7防火墙NAT模式工作示意图7.3.3防火墙的配置规则简单实用全面深入内外兼顾图7.8防火墙设置步骤视图除此以外,在防火墙的设置过程中还应注意以下几点。建立规则文件。防火墙的配置文件可对允许

6、进出的流量作出规定,因此规则文件非常重要,一般网络的重大错误往往是防火墙配置的错误。注重网络地址转换。当防火墙采取NAT模式时,对于内网用户的地址转换和DMZ区域内的服务器的地址转换要非常注意。路由的合理设置。防火墙一般提供静态路由,静态路由表是由网络管理员在启动网络路由功能之前预先建立起的一个路由映射表。在设置路由时,不但要防止来自外部的攻击,还要防止来自内部人员进行非法活动,一般采用IP + MAC + PORT绑定的方式,可防止内部主机盗用其他主机的IP进行未授权的活动。合理的规则次序。同样的规则,以不同的次序放置

7、,可能会完全改变防火墙的运转情况。一些防火墙具有自动给规则排序的特性,很多防火墙以顺序方式检查信息包。注意管理文件的更新。恰当地组织好规则之后,写上注释并经常更新它们,可以帮助管理员了解某条规则的用途,从而减少错误配置的产生。加强审计。不仅要对防火墙的操作进行审计,还要对审计内容本身进行审计,同时审计中要有明确的权限,充分保证审计内容的完整性。7.4ISAServer防火墙图7.9ISA与传统防火墙防护体系视图图7.10ISA缓存功能结构图7.11ISA管理界面图7.12ISA入侵检测和报警图7.13ISA策略单元应用7

8、.5CiscoPix防火墙7.5.1PIX防火墙的功能特点PIX防火墙具有如下的技术特点和优势。非通用、安全、实时和嵌入式系统。典型的代理服务器要对每个数据包进行很多处理,消耗大量的CPU资源,而PIX防火墙使用安全、实时的嵌入式系统,增强了网络的安全性。自适应性安全算法(ASA)。该算法对经过PIX防火墙的连接,采

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。