欢迎来到天天文库
浏览记录
ID:23403624
大小:2.15 MB
页数:38页
时间:2018-11-07
《信息网络安全知识普及教育培训教程--防火墙和入侵技术》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、目录1.防火墙技术2.防火墙的体系结构3.防火墙应用中的几个问题4.入侵检测技术5.入侵检测系统6.入侵防护系统5.1概要 1防火墙技术1.1防火墙的定义与基本功能1.2防火墙的分类和工作原理5.1.1防火墙的定义与基本功能 1.防火墙的定义 防火墙名称的由来 当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。在今日的电子世界中,人们仍然依靠防火墙来保护敏感的数据,不过这些防火墙是由采用先进技术的计算机产品砌成的。 防火墙是位于两个信任程度不同的网络之间(如企业
2、内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以保护系统安全。5.1.1防火墙的定义与基本功能 在逻辑上,防火墙是分离器,限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。 所有进出网络的通讯流都应该通过防火墙; 所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权; 理论上说,防火墙是穿不透的。 在物理上,防火墙既可以是单纯的硬件设备——路由器、
3、主计算机,也可以是纯软件产品,还可以是路由器、计算机和配有软件的网络的组合。5.1.1防火墙的定义与基本功能 防火墙的实质是一对矛盾(或称机制) 限制数据流通; 允许数据流通。 防火墙的安全策略:两种极端的表现形式: 除非允许的,其余均被禁止,安全但不好用。(限制政策) 除非禁止的,其余均被允许,好用但不安全。(宽松政策) 通常防火墙采取第一种安全策略!5.1.1防火墙的定义与基本功能 2、防火墙的基本功能 1.过滤进出网络的数据: 防火墙是阻塞点,可强迫所
4、有进出信息都通过这个唯一狭窄的检查点,便于集中实施安全策略(加密认证软件等)。 2.管理进出网络的访问行为: 限制网络访问服务,实行强制的网络安全策略。 3.封堵某些禁止的业务: 例如禁止不安全的协议NFS,禁止finger。 4.记录通过防火墙的信息内容和活动; 5.对网络攻击检测和告警。5.1.1防火墙的定义与基本功能 防火墙的作用示意图5.1.2防火墙的分类和工作原理 1、根据防火墙适用范围来分:个人防火墙和企业防火墙 1.个人防火墙软件采用的技术与传统的企业级防火墙技术基本相同
5、; 2.在规则的设置、防火墙的管理等方面进行了简化,主要是为了使非专业的个人用户能够轻松地安装和使用它们而企业级防火墙具有更高的稳定性、更快的处理速度; 3.在规则的配置及管理方面相应地就更加复杂。5.1.2防火墙的分类和工作原理 2、根据防火墙的存在形式 1.硬件防火墙 2.软件防火墙 3.软硬件结合防火墙5.1.2防火墙的分类和工作原理 (1)硬件防火墙 1.采用专用芯片处理数据包,CPU只作管理之用; 2.它使用专用的操作系统平台,避免了通用性操作系统的安全性漏洞; 3
6、.具有高带宽、高吞吐量,是真正的线速防火墙(即实际带宽与理论值可以达到一致),安全与速度同时兼顾; 4.管理简单,价格昂贵;此类产品的外观为硬件机箱形,一般不会对外公布其CPU或RAM等硬件水平,其核心为硬件芯片。5.1.2防火墙的分类和工作原理 (2)软件防火墙 l.运行在通用操作系统上的能控制存取访问的软件; 2.对底层操作系统的安全依赖性很高,易造成网络带宽瓶颈(通常带宽只有理论值的20%~70%); 3.它的管理比较复杂,与系统有关,要求维护人员必须熟悉各种工作站及操作系统的安装及维护;
7、 4.价格便宜,但性价比较低。5.1.2防火墙的分类和工作原理 (3)软硬件结合防火墙 l.机箱+CPU+防火墙软件集成于一体(PCBOX结构),现在市面上有些自称“硬件”防火墙的产品实际采用的就是这种结构; 2.它采用专用或通用操作系统,核心技术为软件,容易形成网络带宽瓶颈(通常带宽只能达到理论值的20%~70%),只能满足中低带宽要求,吞吐量不高; 3.管理较方便,性价比较高; 4.产品外观为硬件机箱形,此类防火墙一般会对外强调其CPU与RAM等硬件水平。5.1.2防火墙的分类和工作原理 3、
8、根据防火墙的设计原理 1.包过滤防火墙 2.代理服务器 3.状态检测防火墙5.1.2防火墙的分类和工作原理 (1)包过滤防火墙(packetfiltering) 监视与过滤网络上流入流出的IP包,并拒绝发送或接收可疑的包。 包过滤式的防火墙会检查所有通过信息包里的IP地址、端口号
此文档下载收益归作者所有
