返回
防火墙介绍教学ppt课件

防火墙介绍教学ppt课件

ID:33345013

大小:784.01 KB

页数:32页

时间:2018-05-24

防火墙介绍教学ppt课件_第1页
防火墙介绍教学ppt课件_第2页
防火墙介绍教学ppt课件_第3页
防火墙介绍教学ppt课件_第4页
防火墙介绍教学ppt课件_第5页
资源描述:

《防火墙介绍教学ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、防火墙华南师范大学Changshema@gmail.com学习目标了解防火墙的定义和类型掌握防火墙的原理了解防火墙技术的发展趋势防火墙(Firewall)的定义在互联网上,防火墙是一种有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。防火墙防火墙的基本设计目标对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制,确定哪些服务可以被访问方向控

2、制,对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制,根据用户来控制对服务的访问行为控制,控制一个特定的服务的行为防火墙的功能防火墙定义一个必经之点,一般都包含以下三种基本功能可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。任何关键性的服务器,都应该放在防火墙之后。防火墙提供了一个监视各种安全事件的位置,可以在防火墙上实现审计和报警防火墙可以是地址转换,Internet日志、审计,甚至计费功能的理想

3、平台防火墙可以作为IPSec的实现平台防火墙的局限性防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。对于绕过防火墙的攻击,它无能为力,例如,在防火墙内部通过拨号出去防火墙的分类分组过滤(PacketFiltering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通

4、过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。电路级网关,又叫状态检测(StatusDetection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。包过滤路由器基本思想简单对于每个进来的包,适用一组规则,然后决定转发或者丢

5、弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则,则根据此规则决定转发或者丢弃如果所有规则都不匹配,则根据缺省策略安全缺省策略两种基本策略,或缺省策略没有被拒绝的流量都可以通过(默认转发)管理员必须针对每一种新出现的攻击,制定新的规则没有被允许的流量都要拒绝(默认丢弃)比较保守根据需要,逐渐开放包过滤防火墙数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下,如果规则中

6、没有明确允许指定数据包的出入,那么数据包将被丢弃包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤防火墙(小结)在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点实现简单对用户透明效率高缺点正确制定规则并不容易不可能引入认证机制针对包过滤防火墙的攻击IP地址欺骗,例如,假冒内部的IP地址对策:在外部接口上禁止内部地址源路由攻击,即由源指定路由对策:禁止这样的选项小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中对策:丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如,利用ftp协议对内部进行探查应用层

7、网关也称为代理服务器特点所有的连接都通过防火墙,防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全,但是开销比较大应用层网关应用代理(ApplicationProxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。应用层网关的结构和协议栈示意图HTTPFTPTelnetSmtp传输层网络层链

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。