防火墙技术的原理与应用

防火墙技术的原理与应用

ID:1515889

大小:1.12 MB

页数:64页

时间:2017-11-12

防火墙技术的原理与应用_第1页
防火墙技术的原理与应用_第2页
防火墙技术的原理与应用_第3页
防火墙技术的原理与应用_第4页
防火墙技术的原理与应用_第5页
资源描述:

《防火墙技术的原理与应用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第8章防火墙技术的原理与应用8.1防火墙概述8.2防火墙技术与类型8.3防火墙主要技术参数8.4防火墙防御体系结构类型8.5防火墙部署与应用案例8.6本章小结本章思考与练习8.1防火墙概述8.1.1防火墙技术背景目前,各组织机构都是通过便利的公共网络与客户、合作伙伴进行信息交换的,但是,一些敏感的数据有可能泄露给第三方,特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁,连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有:*公共外部网络,如Internet。*内联网(Intranet)

2、,如某个公司或组织的专用网络,网络访问限制在组织内部。*Extranet,是内联网的扩展延伸,常用作组织与合作伙伴之间进行通信。*军事缓冲区域,简称DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,就能实现隔离有害通信的作用,进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙,因而人们就把这种安全设备俗称为“防火墙”,它一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成。8.1.2防火墙工作原理防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一

3、定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全,如图8-1所示。图8-1防火墙部署安装示意图防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许,如图8-2所示。防火墙的安全策略有两种类型,即:(1)只允许符合安全规则的包通过防火墙,其他通信包禁止。(2)禁止与安全规则相冲突的包通过防火墙,其他通信包都允许。图8-2防火墙工作示意图防火墙

4、简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照TCP/IP协议的层次,防火墙的访问控制可以作用于网络接口层、网络层、传输层、应用层,首先依据各层所包含的信息判断是否遵循安全规则,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的安全管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全,就必须在每台主机上安装安全软件,并对每台主机都要定时检查和配置更新。归纳起来,防火墙的功能有:*过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护的网络,降低被保护网络受非法攻击的风险。*限制网

5、络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的Mail、FTP、WWW服务器等可让外部网络访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。*网络访问审计。防火墙是外部网络与受保护网络之间的惟一网络通道,可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日志也可用于入侵检测和网络攻击取证。*网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务(QoS)保障。*协同防御。目前,防火墙和入侵

6、检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全。8.1.3防火墙缺陷尽管防火墙有许多防范功能,但它也有一些力不能及的地方,因为防火墙只能对通过它的网络通信包进行访问控制,所以对未经过它的网络通信就无能为力了。例如,如果允许从内部网络直接拨号访问外部网络,则防火墙就失效了,攻击者通过用户拨号连接直接访问内部网络,绕过防火墙控制,也能造成潜在的攻击途径。除此之外,防火墙还有一些脆弱点,例如:*防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描每个文件查找病毒

7、,而只能在每台主机上安装反病毒软件。*防火墙不能防止基于数据驱动式的攻击。当有些表面看来无害的数据被邮寄或复制到主机上并被执行而发起攻击时,就会发生数据驱动攻击效果。防火墙对此无能为力。*防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙的控制,例如httptunnel等。8.2防火墙技术与类型8.2.1包过滤包过滤是在IP层实现的防火墙技术。包过滤根据包的源IP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。