返回
防火墙技术1教学ppt课件

防火墙技术1教学ppt课件

ID:33530013

大小:179.51 KB

页数:19页

时间:2019-02-26

防火墙技术1教学ppt课件_第1页
防火墙技术1教学ppt课件_第2页
防火墙技术1教学ppt课件_第3页
防火墙技术1教学ppt课件_第4页
防火墙技术1教学ppt课件_第5页
资源描述:

《防火墙技术1教学ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、8.2防火墙技术8.2.1防火墙主要技术8.2.2防火墙分类8.2.3防火墙的选择标准和发展方向8.2.1防火墙主要技术防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障,由一个或一组系统组成。狭义的防火墙指安装了防火墙软件的主机或路由器系统,广义的防火墙还包括整个网络的安全策略和安全行为。防火墙技术包括:包过滤技术网络地址翻译应用级代理8.2.3防火墙主要技术包过滤技术包过滤技术(PacketFiltering)是在网络层依据系统的过滤规则,对数据包进行选择和过滤,这种规则又称为

2、访问控制表。这种防火墙通常安装在路由器上,如图8.3所示。图8.3包过滤技术这种技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。8.2.3防火墙主要技术包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根据状态信息来过滤整个通信流,而不仅仅是包。有许多方法可绕过包过滤器进入Internet,包过滤技术存在以下缺陷:TCP只能在第0个分段中被过滤。特洛伊木马可以使用NAT来

3、使包过滤器失效。许多包过滤器允许1024以上的端口通过。“纯”包过滤器的防火墙不能完全保证内部网的安全,而必须与代理服务器和网络地址翻译结合起来才能解决问题。8.2.1防火墙主要技术2.网络地址翻译网络地址翻译(NAT,NetworkAddressTranslation)最初的设计目的是增加在专用网络中可使用的IP地址数,但现在则用于屏蔽内部主机。NAT通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址,实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能,使

4、外部主机无法探测到它们。NAT实质上是一个基本代理:一个主机充当代理,代表内部所有主机发出请求,从而将内部主机的身份从公用网上隐藏起来了。8.2.1防火墙主要技术按普及程度和可用性顺序,NAT防火墙最基本的翻译模式包括:静态翻译。在这种模式中,一个指定的内部网络源有一个从改变的固定翻译表。动态翻译。在这种模式中,为了隐藏内部主机的身份或扩展内部网的地址空间,一个大的Internet客户群共享单一一个或一组小的InternetIP地址。负载平衡翻译。在这种模式中,一个IP地址和端口被翻译为同等配置的多个服

5、务器的一个集中处,这样一个公共地址可以为许多服务器服务。网络冗余翻译。在这种模式中,多个Internet连接被附加在一个NAT防火墙上,从而防火墙根据负载和可用性对这些连接进行选择和使用。8.2.1防火墙主要技术3.应用级代理代理现在主要用于防火墙。代理服务器通过侦听网络内部客户的服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。代理的工作流程如图8.4所示。图8.4一个服务代理8.2.3防火墙主要技术应用代理技术的优缺点:代理隐藏了私有

6、客户,不让它们暴露给外界。但客户必须使用代理才能工作,且不能被设置为网络透明工作。代理能阻断危险的URL,但阻断URL也容易被消除。代理能在危险的内容传送给客户之前过滤掉它们,但代理无法保护操作系统。代理能检查返回内容的一致性。但大多数一致性检查都是在发现有被利用的弱点后才有效。代理能消除在网络之间的传输层路由。但阻断路由功能通常使用得不充分代理提供了单点的访问、控制和日志记录功能。代理服务器有消除冗余访问,平衡内部多个服务器负载的性能优化功能,但易形成服务瓶颈。8.2.2防火墙分类按技术分类根据防火墙

7、采用的技术,防火墙分为包过滤型、代理型和监测型。包过滤型防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本。其缺点只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。8.2.2防火墙分类代理型代理型防火墙也称为代理服务器。从结构上看,代理服务器由代理的服务器部分和代理的客户机部分组成。从客户机来看,代理服务器相

8、当于一台真正的服务器,而从服务器来看,代理服务器又是一台真正的客户机。壁垒主机即一台软件上配置代理服务程序的计算机,也可以作为代理服务器。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的入侵和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。8.2.2防火墙分类监测型监测型防火墙是新一代的产品,它实际已经超越了最初的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。