防火墙教学ppt课件

防火墙教学ppt课件

ID:16125625

大小:596.01 KB

页数:21页

时间:2018-08-08

防火墙教学ppt课件_第1页
防火墙教学ppt课件_第2页
防火墙教学ppt课件_第3页
防火墙教学ppt课件_第4页
防火墙教学ppt课件_第5页
资源描述:

《防火墙教学ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第8章防火墙技术本章主要介绍:1.防火墙基本概念2.防火墙的基本功能3.堡垒主机4.代理服务5.防火墙的选购原则8.1防火墙基本概念8.1.1因特网防火墙1.防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。通常,防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机。其目的如同一个安全门,为门内的部门提供安全,控制那些可被允许

2、出入该受保护环境的人或物。防火墙在因特网与内部网中的位置从逻辑上讲,防火墙是分离器、限制器和分析器。从物理角度看,各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备,即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。防火墙2.防火墙的基本功能(1)防火墙能够强化安全策略(2)防火墙能有效地记录因特网上的活动(3)防火墙限制暴露用户点(4)防火墙是一个安全策略的检查站3.防火墙的不足之处(1)不能防范恶意的知情者(2)防火墙不能防范不通过它的连接(3)防火墙不能防备全部的威胁(4)防火

3、墙不能防范病毒8.1.2防火墙体系结构1.双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。2.主机过滤体系结构3.子网过滤体系结构Internet双重宿主主机内部网络内部主机工作站8.1.3防火墙的功能特点(1)网络安全的屏障(2)存取控制(3)控制对特殊站点的访问(4)集中化的安全管理(5)对网络访问进行记录和统计(6)防止内部信息的外泄8.1.4防火墙的各种变化和组合(l)使用多堡垒主机;(2)合并内部路由器与外部路由器;(3)合并堡垒主机与外部路由器;(4)合并堡垒主机与内部

4、路由器;(5)使用多台内部路由器;(6)使用多台外部路由器;(7)使用多个参数网络;(8)使用双重宿主主机与子网过滤。8.2堡垒主机8.2.1建立堡垒主机的一般原则1.最简化原则堡垒主机越简单,对它进行保护就越方便。堡垒主机提供的任何网络服务都有可能在软件上存在缺陷或在配置上存在错误,而这些差错就可能使堡垒主机的安全保障出问题。因此,在堡垒主机上设置的服务必须最少,同时对必须设置的服务软件只能给予尽可能低的权限。2.预防原则8.2.2堡垒主机的种类堡垒主机目前一般有以下三种类型:无路由双宿主主机牺牲主机内部堡垒主

5、机8.2.3堡垒主机的选择1.堡垒主机操作系统的选择2.堡垒主机速度的选择3.堡垒主机的硬件4.堡垒主机的物理位置8.2.4堡垒主机提供的服务(1)无风险服务,仅仅通过包过滤便可实施的服务。(2)低风险服务,在有些情况下这些服务运行时有安全隐患,但加以一些安全控制措施便可消除安全问题。(3)高风险服务,在使用这些服务时无法彻底消除安全隐患;这类服务一般应被禁用,特别需要时也只能放置在主机上使用。(4)禁用服务,应被彻底禁止使用的服务。8.2.5建立堡垒主机建立堡垒主机则应遵循以下步骤:(l)给堡垒主机一个安全的运

6、行环境。(2)关闭机器上所有不必要的服务软件。(3)安装或修改必需的服务软件。(4)根据最终需要重新配置机器。(5)核查机器上的安全保障机制。(6)将堡垒主机连入网络。8.3代理服务8.3.1代理服务的优缺点1.代理服务的优点(1)代理服务允许用户“直接”访问因特网(2)代理服务适合于做日志2.代理服务的缺点(1)代理服务落后于非代理服务(2)每个代理服务要求不同的服务器(3)代理服务一般要求对客户或程序进行修改(4)代理服务对某些服务来说是不合适的(5)代理服务不能保护你不受协议本身缺点的限制8.3.2代理服务

7、的工作方法代理工作的细节对每一种服务是不同的,代理服务在服务器上要求运行合适的代理服务器软件。在客户端可以有以下不同的方法。(1)定制客户软件。(2)定制客户过程。8.3.3用于因特网服务的代理特性1.电子邮件(E-mail)(1)一个服务器,用来向外部主机发送邮件或从外部主机接收邮件。(2)发信代理,用于将邮件正确地放入本地主机邮箱中。(3)用户代理,用于让收信人阅读邮件并编排出站邮件。2.简单邮件传输协议(SMTP)的代理特点因为SMTP是一个存储转发协议,所以它特别适合于进行代理。由于任何一个SMTP服务器

8、都有可能为其它站点进行邮件转发,因而很少将它设置成一个单独的代理。大多数站点将输入的SMTP连接到一台安全运行SMTP服务的堡垒主机上,该堡垒主机就是一个代理。3.邮局协议(POP)的代理特点邮局协议(POP)对于代理系统来说是非常简单的,因为它采用单个连接。内置的支持代理的POP客户程序还很少,主要原因是POP多用于局域网,而很少用于因特网。4.文件传输FTP在开始使用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。