返回
chapter5 防火墙技术

chapter5 防火墙技术

ID:19511436

大小:60.00 KB

页数:19页

时间:2018-10-03

chapter5 防火墙技术_第1页
chapter5 防火墙技术_第2页
chapter5 防火墙技术_第3页
chapter5 防火墙技术_第4页
chapter5 防火墙技术_第5页
资源描述:

《chapter5 防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、chapter5防火墙技术本文由wen7251979贡献ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。第五章防火墙技术深职院计算机网络技术专业池瑞楠631本章学习目标了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式;熟悉防火墙的常见体系结构。熟悉防火墙的产品选购和设计策略。6325.1防火墙技术概述防火墙的定义防火墙的功能和局限性防火墙的发展简史63返回本章首页3防火墙的定义防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的

2、安全保护,以防止发生不可预测的、潜在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口。634防火墙的功能访问控制对网络存取和访问进行监控审计防止内部信息的外泄支持VPN功能支持网络地址转换……635防火墙的基本特征内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力636防火墙的局限性防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。防火墙不能解决来自内部网络的攻击和安全问题。防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙不能防止利用标准网络协

3、议中的缺陷进行的攻击。防火墙不能防止利用服务器系统漏洞所进行的攻击。防火墙不能防止受病毒感染的文件的传输。防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。防火墙不能防止可接触的人为或自然的破坏。637防火墙的发展简史6385.2防火墙的分类按形态分类软件防火墙硬件防火墙桔按保护对象分类桔防火墙63防火墙9单机防火墙&网络防火墙单机防火墙产品形态安装点安全策略保护范围管理方式功能管理人员安全措施软件

4、单台独立的Host分散在各个安全点单台主机分散管理功能单一普通计算机用户单点安全措施网络防火墙硬件或者软件网络边界处对整个网络有效一个网段集中管理功能复杂、多样专业网管人员全局安全措施结论单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能1.2.3.4.5.6.保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活631.2.3.4.5.6.保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂10硬件防火墙&软件防火墙1.2.3.4.5.仅获得Firewall软件,需要准备额

5、外的OS平台仅获得Firewall软件,需要准备额外的OS平台Firewall软件OS安全性依赖低层的OS安全性依赖低层的OS网络适应性弱(主要以路由模式工作)网络适应性弱(主要以路由模式工作)稳定性高软件分发、软件分发、升级比较方便操作系统平台安全性高较高性能高较高稳定性较高高基于精简专用OS基于庞大通用OS强1.2.3.4.5.硬件+软件,不用准备额外的OS平台硬件+软件,不用准备额外的OS平台OS安全性完全取决于专用的OS安全性完全取决于专用的OS网络适应性强(支持多种接入模式)网络适应性强(支持多种接入模式)稳定性较高升级、更新不太灵活升级

6、、分发不易非常容易升级较容易容易成本Price=firewall+ServerPrice=Firewall网络适应性硬件防火墙软件防火墙63较强11按防火墙的体系结构分类多宿主主机被屏蔽主机被屏蔽子网6312概念堡垒主机(Bastionhost):堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒主机,网络之间将不能相互访问。DMZ(DemilitarizedZone,非军事区或者停火区):为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓

7、冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施。6313双宿主主机(Dual-HomedHostFirewall)双宿主主机(Dual-homedHost):有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网。6314被屏蔽主机(ScreenedHostFirewall)外部网络必须通过堡垒主机才能访问内部网络中的资源。内部网络中的计算机则可以通过堡垒主机或者屏蔽路由器访问外部网络中的某些资源6315被屏蔽子网(ScreenedsubnetFirewall)内网可以访问外

8、网内网可以访问DMZ外网不能访问内网外网可以访问DMZ中的服务器DMZ不能访问内网和外网63165.3防火墙实现技术原理1

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。