返回
计算机网络安全防火墙应用技术

计算机网络安全防火墙应用技术

ID:14391608

大小:3.04 MB

页数:55页

时间:2018-07-28

计算机网络安全防火墙应用技术_第1页
计算机网络安全防火墙应用技术_第2页
计算机网络安全防火墙应用技术_第3页
计算机网络安全防火墙应用技术_第4页
计算机网络安全防火墙应用技术_第5页
资源描述:

《计算机网络安全防火墙应用技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、贾铁军沈学东苏庆刚等编著机械工业出版社网络安全技术及应用第9章防火墙应用技术本章要点●防火墙的概念与特点●防火墙的分类●防火墙的工作原理●防火墙的体系结构●企业防火墙的应用网络安全技术及应用第9章防火墙应用技术教学目标●掌握防火墙的概念●掌握防火墙的功能●了解防火墙的不同分类●掌握SYNFlood攻击的方式及用防火墙阻止SYNFlood攻击的方法网络安全技术及应用第9章防火墙应用技术9.1防火墙概述防火墙是一种位于两个(或多个)网络之间,通过执行访问控制策略来保护网络安全的设备。它隔离了内部、外部网络,是内、外部网络通信的唯一途径,能够根据制定的访问规则对流经它的信息进行监控和审查,从而

2、保护内部网络不受外界的非法访问和攻击。网络防火墙的结构如图9-1所示。网络安全技术及应用第9章防火墙应用技术网络安全技术及应用第9章防火墙应用技术图9-1网络防火墙的结构网络安全技术及应用第9章防火墙应用技术9.1.1防火墙的功能防火墙其实是一个分离器、限制器或分析器,它能够有效监控内部网络和外部网络之间的所有活动,其主要功能如下:建立一个集中的监视点。隔绝内、外网络,保护内部网络。强化网络安全策略。有效记录和审计内、外网络之间的活动。网络安全技术及应用第9章防火墙应用技术9.1.2防火墙的特性(1)安全、成熟、国际领先的特性。(2)具有专有的硬件平台和操作系统平台。(3)采用高性能的全

3、状态检测(StatefulInspection)技术。(4)具有优异的管理功能,提供优异的GUI管理界面。(5)支持多种用户认证类型和多种认证机制。网络安全技术及应用第9章防火墙应用技术9.1.2防火墙的特性(6)需要支持用户分组,并支持分组认证和授权。(7)支持内容过滤。(8)支持动态和静态地址翻译(NAT)。(9)支持高可用性,单台防火墙的故障不能影响系统的正常运行。(10)支持本地管理和远程管理。(11)支持日志管理和对日志的统计分析。网络安全技术及应用第9章防火墙应用技术9.1.2防火墙的特性(12)实时告警功能,在不影响性能的情况下,支持较大数量的连接数。(13)在保持足够的性

4、能指标的前提下,能够提供尽量丰富的功能。(14)可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯。(15)支持在线升级。(16)支持虚拟防火墙及对虚拟防火墙的资源限制等功能。(17)防火墙能够与入侵检测系统互动。网络安全技术及应用第9章防火墙应用技术9.1.3防火墙的主要缺点(1)不能防范不经由防火墙的攻击。(2)防火墙是一种被动安全策略执行设备,即对于新的未知攻击或者策略配置有误,防火墙就无能为力了。(3)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙允许某些标准网络协议,就不能防止利用协议缺陷的攻击。(4)防火墙不能防止利用服务器系统漏洞进行的攻击。网络安

5、全技术及应用第9章防火墙应用技术9.1.3防火墙的主要缺点(5)防火墙不能防止数据驱动式的攻击。(6)防火墙无法保证准许服务的安全性。(7)防火墙不能防止本身的安全漏洞威胁。(8)防火墙不能防止感染了病毒的软件或文件的传输。此外,防火墙在性能上不具备实时监控入侵的能力,其功能与速度成反比。防火墙的功能越多,对CPU和内存的消耗越大,速度越慢。管理上,人为因素对防火墙安全的影响也很大。因此,仅仅依靠现有的防火墙技术,是远远不够的。网络安全技术及应用第9章防火墙应用技术9.2防火墙的类型9.2.1以防火墙的软硬件形式分类可以分为软件防火墙和硬件防火墙以及芯片级防火墙。(1)软件防火墙需要客户

6、预先安装好的计算机操作系统的支持,俗称个“人防火墙”。(2)硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区。(3)芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。网络安全技术及应用第9章防火墙应用技术9.2.2按照防火墙的技术分类可以分为包过滤型和应用代理型两大类。(1)包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。(2)应用代理型防火墙是工

7、作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。网络安全技术及应用第9章防火墙应用技术图9-2包过滤防火墙的网络结构网络安全技术及应用第9章防火墙应用技术在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。(1)第一代静态包过滤类型防火墙这类防火墙几乎是与路由器同时产生的,它是根据定义好的过

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。