返回
【7A文】防火墙和IDS-1.ppt

【7A文】防火墙和IDS-1.ppt

ID:32505964

大小:1.85 MB

页数:75页

时间:2019-02-09

【7A文】防火墙和IDS-1.ppt_第1页
【7A文】防火墙和IDS-1.ppt_第2页
【7A文】防火墙和IDS-1.ppt_第3页
【7A文】防火墙和IDS-1.ppt_第4页
【7A文】防火墙和IDS-1.ppt_第5页
资源描述:

《【7A文】防火墙和IDS-1.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、防火墙(firewall)防火墙防火墙基本概念防火墙类型及实现原理包过滤防火墙应用网关电路级防火墙状态检测防火墙网络地址转换:NAT防火墙部署形式什么是防火墙防火墙定义:防火墙是在被保护网络(内联子网Intranet和局域网LAN)与公共网络(如Internet)之间实现访问控制的一组硬件或软件系统。防火墙是网络安全的第一道屏障。所有进出内部网络的通信流量都必须通过防火墙。防火墙在网络中的位置IntranetDMZ防火墙几个基本概念内联网(Intranet)“Intranet是企业内部的私有网络”。Intranet就是把企业内部

2、的局域网与互联网相连接。外联网(Extranet)“Extranet是一种私有网络,它使用IP协议和公共通信系统实现与供应商、销售商、B2B商业伙伴或顾客的商业信息共享”。网络边界不同安全策略的两个网络连接处,比如用户网络和因特网之间连接,与其他业务往来单位的网络连接,用户内部网络不同部门之间的连接等。防火墙几个基本概念堡垒主机(BastionHost)是一台高度暴露于Internet的主机,易于受到网络攻击。因此,需要对堡垒主机重点安全防护。Internet和Intranet都可以访问堡垒主机,但这两个网络不能直接交换数据。堡

3、垒主机把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全.双宿主主机(Dual-HomedHost):具有两个网络接口(NIC)的主机。内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。防火墙几个基本概念第一代:包过滤(PacketFilter)防火墙.第二、三代:1989年,电路层防火墙和应用层防火墙。第四代:1992年,动态包过滤(状态检测)防火墙。第五代:1998年

4、,NAI公司推出的自适应代理技术,可以称之为第五代防火墙。防火墙模型物理层数据链路层网络层传输层会话层表示层应用层对等实体鉴别XXX访问控制XXXXX连接保密XXXXXX选择字段保密XX报文流安全XXX数据源鉴别X数据的完整性XXXX禁止否认服务X网络层次安全服务防火墙模型应用层网关级表示层会话层传输层电路级网络层路由器级数据链路层网桥级物理层中继器级内部网络外部网络OSI/RM防火墙安全区域防火墙系统非保护区防火墙模型中继器级网桥级路由器级电路级网关级防火墙加密/安全技术静态包过滤防火墙动态包过滤防火墙代理防火墙/加密网关物理

5、层链路层网络层传输层会话层表示层应用层OSI协议层安全协议PPTP/L2TPIPSECTLS/SSLSOCKS应用相关信道加密信源加密防火墙的功能和安全策略防火墙的功能访问控制:禁止未授权的用户或程序访问受保护的网络。网络地址翻译(NAT)身份认证构造虚拟专用网(VPN)日志审计流量分析防火墙两种默认安全策略:严格:一切未被允许的就是禁止的宽松:一切未被禁止的就是允许的防火墙的类型防火墙的分类包过滤型防火墙(packetfiltering)状态检测型防火墙(StatefulInspection)应用代理(网关)(applicat

6、iongateway)电路层防火墙混合型防火墙防火墙的分类按网络体系结构分类工作在OSI参考模型中的不同位置按应用技术分类包过滤防火墙代理服务器电路级网关按拓扑结构分类双宿主主机防火墙屏蔽主机防火墙屏蔽子网防火墙防火墙的规则动作防火墙对出入网络数据包有以下几种动作:通过(accept):允许数据包通过防火墙传输。放弃(deny):不允许数据包通过防火墙传输,但仅仅丢弃,不做任何响应。拒绝(reject):不允许数据包通过防火墙传输,并向源端发送目的主机不可达的ICMP报文。返回(return):没有发现匹配的规则,省缺动作。包过

7、滤路由器结构特点:一般路由器是内部网络的单点接入点,因此在性能允许的情况下最适合集成防火墙的功能。路由器策略来决定转发或阻止数据包外部网络内部网络包过滤(PacketFiltering)包过滤防火墙属于网络层防火墙,它根据预定义的IP层访问控制策略(规则),对进出的数据包的IP地址及端口进行规则匹配,来决定数据包是否允许通过、阻断还是被丢弃。访问控制策略主要控制报文的源地址、报文的目标地址、协议类型、报文的源端口和目的端口等。包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤技术原理源端口号目的端口号顺序号(Sequen

8、ceNumber)TCP头格式填充确认号(AcknowledgementNumber)头长标志位保留校验(Checksum)滑动窗口(Windows)紧急指针(Urgent)选项(Options)数据(Data)版本头长服务类型总长IP头格式填充(Padding

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。