返回
防火墙技术-几种防护墙概念介绍

防火墙技术-几种防护墙概念介绍

ID:1515895

大小:2.67 MB

页数:27页

时间:2017-11-12

防火墙技术-几种防护墙概念介绍_第1页
防火墙技术-几种防护墙概念介绍_第2页
防火墙技术-几种防护墙概念介绍_第3页
防火墙技术-几种防护墙概念介绍_第4页
防火墙技术-几种防护墙概念介绍_第5页
资源描述:

《防火墙技术-几种防护墙概念介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第七讲:几种防火墙介绍1简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙传输层网络层数据链路层物理层应用层数据链路层物理层应用层传输层网络层一、状态检测防火墙对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。状态检测防火墙保留状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输

2、层的控制能力。2过滤规则实例3顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCP192.168.1.5any202.106.185.23623permitOut4TCP*.*.*.*any*.*.*.*anydenyOut5UDP*.*.*.*any202.106.185.236161permitOut6UDP*.*.*.*any*.*.*.*anydenyOut过滤规则配置的两种方式(一)限制策略:接受信任的数据包,拒绝其它所有数据包4顺序协议源地址源端口目的地址目的端口动作

3、方向1TCP192.168.1.*any*.*.*.*80permitOut2TCP192.168.1.5any192.168.2..23623permitOut3UDP*.*.*.*any192.168.2..236161permitOut4**.*.*.*any*.*.*.*anydeny*过滤规则配置的两种方式(二)宽松策略:拒绝不受信任的数据包,接受其它所有数据包5顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80denyOut2TCP192.168.1.*any*.*.*.*21denyOut

4、3TCP*.*.*.*any192.168.1.*445denyIn5UDP*.*.*.*any192.168.2.39000denyOut6**.*.*.*any*.*.*.*anypermit*针对包过滤防火墙的攻击IP地址欺骗,例如,假冒内部的IP地址对策:在外部接口上禁止内部地址小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中对策:丢弃分片太小的分片利用规则设置漏洞对策:采用状态检测防火墙1192.168.1.9anyanyanypermit2192.168.1.9anyany80deny源路由攻击,即由源指定路由对策:禁止这样的选

5、项6源路由攻击71,B,permit2,C,denyB,DataC,DataB,DataR3,R1B,R3,R1,Data作业1:根据条件编写防火墙规则内网所有设备之间都能相互访问内网所有设备,除了61.2.2.4以外,都能访问外网的Web服务只有61.2.2.5能访问外网的应用A,其它设备都不能访问应用A内网Web服务和邮件服务能被外网所有设备访问内网文件服务能被外网的78.10.2.3访问,其它网外设备不能访问其它访问被禁止8内网外网作业1:要求11月6日前通过邮件递交(jliao@fudan.edu.cn)Word文件,文件名:学号-作业1.d

6、oc按以下格式编写规则:9顺序方向In/out/*协议TCP/UDP/*源地址源端口目的地址目的端口动作Permit/deny12345第七讲:几种防火墙介绍10简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙传输层网络层数据链路层物理层应用层数据链路层物理层应用层传输层网络层二、应用代理防火墙也称为应用层网关特点所有的内外网之间的连接都通过防火墙,防火墙作为网关在应用层上实现可以监视数据包的应用层内容可以实现基于用户的认证,防止IP欺骗所有的应用需要单独实现可以提供理想的日志功能非常安全,但是开销比较大11应用代理防火墙技

7、术介绍优点:安全性高提供应用层的安全12缺点:性能差伸缩性差只支持有限的应用不透明应用代理防火墙13应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部/外部网络特定用户应用程序的通信,然后建立与外部/内部网络主机单独的连接。网络内部/外部的用户不直接与外部/内部的服务器通信,所以内部/外部主机不能直接访问外部/内部网络的任何一部分。DD应用代理防火墙工作原理14Telnet应用代理15远程登录Telnet应用代理的过程:用户首先Telnet到应用代理主机,并输入内部目标主机的名字(域名、IP地址)应用代理检查用户的源IP地

8、址等,并根据事先设定的访问规则来决定是否转发或拒绝数据然后进行用户验证应用代理服务器为用户建立在网关与内部主

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。