返回
信息安全原理与应用-防火墙技术及应用

信息安全原理与应用-防火墙技术及应用

ID:20268819

大小:733.50 KB

页数:40页

时间:2018-10-11

信息安全原理与应用-防火墙技术及应用_第1页
信息安全原理与应用-防火墙技术及应用_第2页
信息安全原理与应用-防火墙技术及应用_第3页
信息安全原理与应用-防火墙技术及应用_第4页
信息安全原理与应用-防火墙技术及应用_第5页
资源描述:

《信息安全原理与应用-防火墙技术及应用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1信息安全原理与应用第十二章防火墙技术及应用本章由王昭主写2讨论议题防火墙的基本概念防火墙的体系结构防火墙相关技术3防火墙定义防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称.一个好的防火墙具备:内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙防火墙自身应对渗透免疫4防火墙的访问控制能力服务控制,确定哪些服务可以被访问方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制,根据用户来控制对服务的访问行为控制,控制一个特定的

2、服务的行为5防火墙的作用防火墙对企业内部网实现了集中的安全管理防火墙能防止非授权用户进入内部网络。防火墙可以方便地监视网络的安全性并报警。可以作为部署网络地址转换NAT的地点可以实现重点网段的分离防火墙是审计和记录网络的访问和使用的最佳地方。6防火墙的局限性限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便。目前防火墙对于来自网络内部的攻击还无能为力。防火墙不能防范不经过防火墙的攻击。可能带来传输延迟、瓶颈及单点失效。防火墙不能有效地防范数据驱动式攻击。作为一种被动的防护手段,防火墙不能防范

3、因特网上不断出现的新的威胁和攻击。7防火墙安全策略在构筑防火墙之前,需要制定一套完整有效的安全战略网络服务访问策略一种高层次的具体到事件的策略,主要用于定义在网络中允许或禁止的服务。防火墙设计策略一切未被允许的就是禁止的一切未被禁止的都是允许的8讨论议题防火墙的基本概念防火墙的体系结构防火墙相关技术9防火墙的体系结构包过滤型防火墙(PackageFiltering)双宿/多宿主机模式(Dual-Homed/Multi-HomedHostFirewall)屏蔽主机模式(ScreenedHostFirewall

4、)屏蔽子网模式(ScreenedSubnetmode)其他模式10几个概念堡垒主机:BastionHost堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也就是说如果没有堡垒主机,网络之间将不能相互访问。双宿主机:Dual-homedHost有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网.DMZ(DemilitarizedZone,非军事区或者停火区)在内部网络和外部网络之间增加的一个子网包过滤防火墙往往用一台路由器来实现基本的思想很简单对所接收的

5、每个数据包进行检查,根据过滤规则,然后决定转发或者丢弃该包往往配置成双向的1112包过滤防火墙往往用一台路由器来实现基本的思想很简单对所接收的每个数据包进行检查,根据过滤规则,然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤规则基于IP包头信息。IP源地址、目的地址、TCP/UDP端口、ICMP消息类型、TCP头中的ACK位。过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。如果有匹配按规则执行,没有匹配,则按缺省策略。13双宿/多宿主机模式它是一种拥有两个或多个连接到不同网络上的网

6、络接口的防火墙。14屏蔽主机模式屏蔽主机防火墙由包过滤路由器和堡垒主机组成15屏蔽子网模式采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为“非军事区(de-militarizedzone)”网络,有时也称作周边网(perimeternetwork)16讨论议题防火墙的基本概念防火墙的体系结构防火墙相关技术17防火墙相关技术静态包过滤状态监测应用程序网关(代理服务器)电路级网关深度包检查技术18静态包过滤根据流经该设备的数据包头信息,决定是否允许该数据包通过如何过滤过滤规则基

7、于IP包头信息。IP源地址、目的地址、TCP/UDP端口、ICMP消息类型、TCP头中的ACK位。过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。如果有匹配按规则执行,没有匹配,则按缺省策略19重要的约定访问规则要使用IP地址,而不使用主机名或域名不要回应所有经过外部网络接口来的ICMP包。要丢弃所有通过外部网络适配器流入,且其源地址是来自受保护网络的包。telnet服务的数据包的特性20从内往外的telnet服务针对telnet服务的过滤规则21双向允许针对SMTP服务的过滤规则22

8、双向允许针对WWW服务的过滤规则23允许内部网用户的WWW服务正常模式的FTP过滤规则24PASV模式的FTP过滤规则2526针对包过滤防火墙的攻击IP地址欺骗,例如,假冒内部的IP地址对策:在外部接口上禁止内部地址源路由攻击,即由源指定路由对策:禁止这样的选项小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中对策:丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如,利用ftp协议对内部进行探

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。