返回
防火墙技术_计算机硬件及网络_it计算机_专业资料

防火墙技术_计算机硬件及网络_it计算机_专业资料

ID:18276976

大小:2.79 MB

页数:29页

时间:2018-09-16

防火墙技术_计算机硬件及网络_it计算机_专业资料_第1页
防火墙技术_计算机硬件及网络_it计算机_专业资料_第2页
防火墙技术_计算机硬件及网络_it计算机_专业资料_第3页
防火墙技术_计算机硬件及网络_it计算机_专业资料_第4页
防火墙技术_计算机硬件及网络_it计算机_专业资料_第5页
资源描述:

《防火墙技术_计算机硬件及网络_it计算机_专业资料》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2021/7/11第13章防火墙技术广州大学华软软件学院软件工程系《网络信息安全》课程组主要内容13.1防火墙的基本概念13.2防火墙的类型与技术13.3防火墙的体系结构13.4防火墙技术的几个新方向2021/7/1213.2.1包过滤防火墙13.2.2状态检测防火墙13.2.3应用层网关13.2.4代理服务器13.3.1双宿/多宿主机模式13.3.2屏蔽主机模式13.3.3屏蔽子网模式13.1防火墙的基本概念13.1.1定义防火墙是一种装置:由软件/硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的

2、权限。防火墙隔离安全可信的内部网络和不安全可信的外部网络,是一个网络边界安全系统。2021/7/13防火墙在网络中的位置2021/7/14防火墙存在的必要性1)无防火墙时整个内网安全性完全依赖每个主机,所有主机都必须达到一致的高度安全水平。2)而防火墙只运行专用的访问控制软件(没有普通主机运行的服务),相对少一些缺陷和安全漏洞,安全管理更为方便,使内部网络更加安全。防火墙的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。它是一种被动的技术,是一种静态安全部件。2021/7/1513.1.2防火墙应满足的条件2021/7/16(1)内外网之间所有数据流必须经过防火墙。防火墙无法监控不通过

3、防火墙的流量,不能处理内部攻击。(2)只有符合安全策略的数据流才能通过防火墙。(3)防火墙具有高可靠性,应对渗透免疫,即它本身是不可被侵入的,否则黑客就相当于进入内网。防火墙对数据流的处理方式:①允许数据流通过;②拒绝数据流通过;③将这些数据流丢弃。13.1.3防火墙的功能(1)隔离不同的网络,限制安全问题的扩散。(2)记录经过防火墙的数据包,监视网络的安全性。(3)部署NAT的地点。(4)审计和记录Internet使用费用的一个最佳地点。(5)作为IPSec的平台。(6)内容控制功能。2021/7/1713.1.4防火墙的局限性(1)有些网络攻击可以绕过防火墙。(2)不能防范来自内部网络的攻

4、击。(3)内部用户可能会过于信任和依赖防火墙。(4)防火墙不能完全防止后门攻击。(5)不能对被病毒感染的程序和文件进行过滤。(6)过滤规则静态的,不能防范全新的网络威胁。(7)与虚拟专用网的结合使用存在问题。(8)可能带来传输延迟、瓶颈以及单点失效问题。(9)防火墙不能防止数据驱动式攻击。2021/7/1813.2防火墙的类型与技术2021/7/1913.2.1包过滤防火墙分组过滤路由器,网络层防火墙最基本、最早期的防火墙技术(静态)——不检查数据包的数据内容,只检查包头中的地址、协议、端口等信息来决定是否允许此数据包通过。过滤规则设置的默认原则:(1)默认拒绝:规则允许的数据包才可以通过防火

5、墙,其他都不能通过,是安全实用的方法。(2)默认允许:规则拒绝的数据包才不可通过防火墙,其他都可以通过,是灵活的方法。静态包过滤的判断依据•数据包协议类型TCP、UDP、ICMP、IGMP等。•源/目的IP地址。•源/目的端口FTP、HTTP、DNS等。•IP选项:源路由、记录路由等。•TCP选项SYN、ACK、FIN、RST等。•其他协议选项ICMPECHO、ICMPREPLY等。•数据包流向in或out。•数据包流经网络接口eth0、eth1。2021/7/110静态包过滤防火墙的缺陷(1)通常不能对付某些类型的拒绝服务攻击——基于包损坏、SYNFlood或其他基于TCP/IP的异常。(2

6、)静态包过滤防火墙不能跟踪会话的状态数据。管理员被迫保持所有1024以上的端口。(3)支持极繁忙网络的包过滤防火墙会引起网络性能降级和更高的CPU负载。2021/7/11113.2.2状态检测防火墙状态检测(StatefulInspection)防火墙又称动态防火墙。1)静态包过滤:由于缺少“状态感知”(StateAware)能力,在遇到利用动态端口的协议时会发生困难。防火墙需要将所有可能用到的端口打开。2)状态检测:通过检查应用程序信息(如FTP的PORT和PASV命令),来判断此端口是否需要临时打开;当传输结束时,端口又恢复为关闭状态。2021/7/112状态检测技术的特点1)状态检测是一

7、种相当于4、5层的过滤技术;2)采用一种基于连接的状态检测机制,在防火墙的核心部分建立数据包的连接状态表,将属于同一个连接的所有包作为一个会话整体看待;3)可以收集并检查许多状态信息,过滤更加准确;4)提供比包过滤防火墙更高的安全性和更灵活的处理,几乎支持所有服务,且比应用层网关速度快。举例:状态检测防火墙适合过滤SYN+ACK扫描包2021/7/113网络层防火墙的优缺点2021/7/114优点

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。