欢迎来到天天文库
浏览记录
ID:27865090
大小:1.29 MB
页数:71页
时间:2018-12-04
《[计算机硬件及网络]网络安全-20:防火墙》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Chapter20防火墙《密码编码学与网络安全》简介信息系统不断发展完善每个人都希望与互联网相连或连接到网上存在安全忧虑不能很容易地使组织中的各系统得到安全保护典型地使用防火墙用以提供边界防御作为复杂的安全策略的一部分2021/7/92西安电子科技大学计算机学院什么是防火墙?是网络控制和监视的关键点用不同的信任与网络相连接对网络服务进行强制性限制只准允许授权的通信通过对访问进行审查和控制对于异常行为能够实现报警提供NAT和使用监视用IPSec实现VPN对于渗透必须是免疫的。2021/7/93西安电子科技大学计算机学院防火墙的设计目标所有通信都必须经过
2、防火墙只有被授权的通信才能通过防火墙对于渗透必须是免疫的2021/7/94西安电子科技大学计算机学院防火墙的局限性一、防火墙概述1)防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育、管理、制度等。2021/7/95西安电子科技大学计算机学院一、防火墙概述2)不能防范绕过防火墙的攻击防火墙能够有效地防止通
3、过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3)防火墙配置复杂,容易出现安全漏洞4)防火墙往往只认机器(IP地址)不认人(用户身份),并且控制粒度较粗。防火墙的局限性2021/7/96西安电子科技大学计算机学院一、防火墙概述5)防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时,就会发生数据驱动攻击
4、。特别是随着Java、JavaScript、ActiveX的应用,这一问题更加突出。2021/7/97西安电子科技大学计算机学院防火墙的分类包过滤路由器应用级网关电路级网关2021/7/98西安电子科技大学计算机学院2021/7/99西安电子科技大学计算机学院2021/7/910西安电子科技大学计算机学院2021/7/911西安电子科技大学计算机学院服务访问政策是整个机构信息安全政策的延伸,既要可靠又要切合实际。一个典型的政策可以不允许从Internet访问网点,但要允许从网点访问Internet。另一个典型政策是允许从Internet进行某些访问,
5、但是或许只许可访问经过选择的系统,如Web服务器和电子邮件服务器。服务访问政策2021/7/912西安电子科技大学计算机学院允许拒绝防火墙设计政策防火墙一般实施两个基本设计方针之一:1.“没有明确允许的都是被禁止的”,即拒绝一切未予特许的东西。2.“没有明确禁止的都是被允许的”;也即是允许一切未被特别拒绝的东西允许拒绝2021/7/913西安电子科技大学计算机学院防火墙的体系结构1)屏蔽路由器(ScreenedRouter)2)双宿主机网关;DualHomedHostGateway3)屏蔽主机防火墙;ScreenedGateway4)屏蔽子网防火墙。
6、ScreenedSubnet2021/7/914西安电子科技大学计算机学院1.屏蔽路由器(ScreenedRouter)包过滤路由器:路由+过滤这是最简单的防火墙。缺点:日志没有或很少,难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护,脆弱2021/7/915西安电子科技大学计算机学院2.双宿主机网关2021/7/916西安电子科技大学计算机学院用一台装有两块网卡的计算机作为堡垒主机(Bastionhost),两块网卡分别与内部网和外部网(或屏蔽路由器)相连,每块网卡有各自的IP地址。堡垒主机上运行防火墙软件——代理服务(应用层网关)。在建
7、立双宿主机时,应关闭操作系统的路由功能(IP转发),否则两块网卡间的通信会绕过代理服务器软件。优点:与屏蔽路由器相比,提供日志以备检查缺点:双宿主机易受攻击2021/7/917西安电子科技大学计算机学院3.屏蔽主机防火墙2021/7/918西安电子科技大学计算机学院屏蔽主机体系结构2021/7/919西安电子科技大学计算机学院由屏蔽路由器和应用网关组成。两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用网关只有一块网卡。优点:双重保护,安全性更高。实施策略:针对不同的服务,选择其中的一种或两种保护措施。2021/7/920西安
8、电子科技大学计算机学院4.屏蔽子网体系结构组成:一个包含堡垒主机的周边子网、两台屏蔽路由器。2021/7/9
此文档下载收益归作者所有
![[计算机硬件及网络]网络安全-20:防火墙_第1页](https://f25.wenku365.com/file-convert/2021/06/27/20/10/4ac4e24a55fdeac7dea397028b4ae70d/img/1.jpg)
![[计算机硬件及网络]网络安全-20:防火墙_第2页](https://f25.wenku365.com/file-convert/2021/06/27/20/10/4ac4e24a55fdeac7dea397028b4ae70d/img/2.jpg)
![[计算机硬件及网络]网络安全-20:防火墙_第3页](https://f25.wenku365.com/file-convert/2021/06/27/20/10/4ac4e24a55fdeac7dea397028b4ae70d/img/3.jpg)
![[计算机硬件及网络]网络安全-20:防火墙_第4页](https://f25.wenku365.com/file-convert/2021/06/27/20/10/4ac4e24a55fdeac7dea397028b4ae70d/img/4.jpg)
![[计算机硬件及网络]网络安全-20:防火墙_第5页](https://f25.wenku365.com/file-convert/2021/06/27/20/10/4ac4e24a55fdeac7dea397028b4ae70d/img/5.jpg)
