返回
防火墙8教学ppt课件

防火墙8教学ppt课件

ID:33596901

大小:251.01 KB

页数:16页

时间:2018-05-22

防火墙8教学ppt课件_第1页
防火墙8教学ppt课件_第2页
防火墙8教学ppt课件_第3页
防火墙8教学ppt课件_第4页
防火墙8教学ppt课件_第5页
资源描述:

《防火墙8教学ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、6.1防火墙1.防火墙的概念在建筑群中,防火墙(FireWall)用来防止火灾蔓延。在计算机网络中,防火墙是设置在可信任的内部网络和不可信任的外界之间的一道屏障,来保护计算机网络的资源和用户的声誉,使一个网络不受来自另一个网络的攻击。2.防火墙的基本功能在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。作为一个中心“遏制点”,它可以将局域网的安全管理集中起来,屏蔽非法请求,防止跨权限访问并产生安全报警。具体地说,防火墙有以下一些功能:6.

2、2网络防火墙构建与基本结构举例1.屏蔽路由器(ScreeningRouter)和屏蔽主机(ScreeningHost)防火墙最基本、也是最简单技术是数据包过滤。而过滤规则可以安装在路由器上,也可以安装在主机上。具有数据包过滤功能的路由器称为屏蔽路由器。具有数据包过滤功能的主机称为屏蔽主机。图6.9为包过滤防火墙的两种基本结构。路由器是内部网络与Internet连接的必要设备,是一种“天然”的防火墙,它除具有路由功能之外,还安装了分组/包过滤(数据包过滤或应用网关)软件,可以决定对到来的数据包是否要进行转发。防火墙外部网

3、屏蔽路由器内部网图6.9路由过滤式防火墙这种防火墙实现方式相当简捷,效率较高,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但由于过滤路由器是在网关之上的包过滤,因此它允许被保护网络的多台主机与Internet的多台主机直接通信。其次,这种网络由于仅靠单一的部件来保护系统,一旦部件被攻破,就再也没有任何设防了,并且当防火墙被攻破时几乎可以不留下任何痕迹,甚至难于发现已发生的攻击。进一步说,由于数据包的源地址、目标地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒;并且数据包缺乏用户日志

4、(log)和审计信息(audit),不具备登录和报告性能,不能进行审核管理,因而过滤规则的完整性难以验证,所以安全性较差。2.双重主网关(DualHomedGateway)如图6.10所示,双宿主主机是一台有两块NIC的计算机,每一块NIC各有一个IP地址。所以它可以是NAT和代理两种安全机制。如果Internet上的一台计算机想与被保护网(Intranet)上的一个工作站通信,必须先行注册,与它能看到的IP地址联系;代理服务器软件通过另一块NIC启动到Intranet的连接。外部网双穴主机内部网图6.10双宿主机网关

5、防火墙双宿主网关使用代理服务器简化了用户的访问过程,它将被保护网络与外界完全隔离,由域名系统的信息不会通过被保护系统传到外部,所以系统的名字和IP地址对Internet是隐蔽的,做到对用户全透明。由于该防火墙仍是由单机组成,没有安全冗余机制,一旦该“单失效点”出问题,网络将无安全可言。3.堡垒主机(BastionHost)堡垒主机有如下特性:(1)堡垒主机的概念·它是专门暴露在外部网络上的一台计算机,是被保护的内部网络在外网上的代表,并作为进入内部网的一个检查点。·它面对大量恶意攻击的风险,并且它的安全对于建立一个安全

6、周边具有重要作用,因此必须强化对它的保护,使风险降至最小。它通常提供公共服务,如邮件服务、WWW服务、FTP服务、WWW服务、DNS服务等。堡垒主机与内部网络是隔离的。它不知道内部网络上的其他主机的任何系统细节,如内部主机的身份认证服务和正在运行的程序的细节。这样,对堡垒主机的攻击不会殃及内部网络。所以,堡垒主机是一个被强化的、被暴露在被保护网络外部的、可以预防进攻的计算机。(2)堡垒主机过滤式防火墙双连点堡垒主机过滤式防火墙有图3.12所示的结构。它比连点堡垒主机过滤式防火墙有更高的安全等级。由于堡垒主机具有两个网络

7、接口,除了外部用户可以直接访问信息服务器外,外部用户发往内部网络的业务流和内部系统对外部网络的访问都不得不经过堡垒主机,以提高附加的安全性。在这种系统中,由于堡垒主机成为外部网络访问内部网络的唯一入口,所以对内部网络的可能安全威胁都集中到了堡垒主机上。因而对堡垒主机的保护强度,关系到整个内部网的安全。外部网屏蔽路由器内部网堡垒主机信息服务器内部主机图3.12堡垒主机过滤式防火墙3.遮蔽子网(ScreenedSubnet)防火墙被保护网络和Internet之间设置一个独立的子网作为防火墙,就是子网过滤防火墙。具体的配置方

8、法是在过滤主机的配置上再加上一个路由器,形成具有外部路由过滤器、内部路由过滤器、应用网关等三道防线的过滤子网,如图3.13所示。外部网堡垒主机信息服务器内部网内部路由器外部路由器DMZ图3.13子网过滤防火墙配置在子网过滤防火墙中,外部过滤路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击),并管理外部网到过滤子网的访问。外部

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。