返回
防火墙与物理隔离概念简介

防火墙与物理隔离概念简介

ID:33648847

大小:324.62 KB

页数:9页

时间:2019-02-28

防火墙与物理隔离概念简介_第1页
防火墙与物理隔离概念简介_第2页
防火墙与物理隔离概念简介_第3页
防火墙与物理隔离概念简介_第4页
防火墙与物理隔离概念简介_第5页
资源描述:

《防火墙与物理隔离概念简介》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、防火墙技术:包过滤防火墙:一个包过滤防火墙通常是一台有能力过滤某些内容数据包的路由器。包过滤防火墙能够检查的信息包括第三层信息(IP),有时也包括第四层的信息(端口)。例如,带有扩展ACL的Cisco路由器能过滤第三层和第四层的信息。1.过滤操作当执行数据包时,包过滤规则被定义在防火墙上。这些规则用来匹配数据包内容以决定哪些包被允许和哪些包被拒绝。当拒绝流量时,可以采用两个操作:通知流量的发送者其数据将丢弃,或者没有任何通知直接丢弃这些数据。2.过滤信息u第三层的源和目的地址u第三层的协议信息u第四层的协议信息u发送或接收流量的接口3.包过滤防火墙的优点u实现包过滤几乎不再需要

2、任何费用u能以更快的速度处理数据包u易于匹配绝大多数网络层和传输层报文头的域信息,在实施安全测率提供许多灵活性。4.包过滤防火墙的局限性u可能比较复杂,不已于配置u不能阻止应用层攻击u只对某些类型的TCP/IP攻击比较敏感(不能阻止TCPSYN泛洪和IP欺骗)u不支持用户的连接认证u只有有限的认证功能u任何直接经过路由的数据包都有被用作数据驱动式攻击的潜在危险u随着过滤器数目的增加,路由的吞吐量会下降5.包过滤防火墙的应用环境u作为第一线防御(边界路由器)u在要求最低安全性并考虑成本的SOHO网络中u当用包过滤就能完全实现安全策略且不存在认证问题时状态检测防火墙:采用状态检测包

3、过滤技术,是在传统的包过滤上的功能扩展。1.过滤操作当内网主机A连接Web主机B时,它使用源端口为5000,目的端口为80的TCP报文,并在控制域中使用SYN标记,当这个包经过防火墙时,防火墙将这个规则加入状态表。B接到请求后,他使用SYN/ACK来响应主机A,当这个报文到达防火墙时,防火墙首先访问状态表以查看该连接是否已经存在。然后对该报文进行操作。当连接终止时,状态防火墙通过检查TCP控制标记获此信息,从而动态的将此连接从状态表或者规则过滤表中删除。2.状态检测防火墙的优点u状态防火墙了解连接的各个状态,因此可以在连接终止后及时阻止此后来自外部设备的该连接的流量,防止伪造流

4、量通过。u状态防火墙无须为了允许正常通信而打开更大范围的端口u状态防火墙通过使用状态表能够阻止更多类型的Dos攻击u状态防火墙具有更强的日志功能3.状态检测防火墙的局限性u无状态的协议:在处理无状态信息协议时会出现问题,如:UDP,ICMP等。u多个应用连接:u状态表的大小:状态防火墙忙于建立和维护状态表,如果监控的连接多,成本开销大。u检测的层次仅限于网络层与传输层,无法对应用层内容进行检测。4.应用环境u作为防御的主要形式u作为防御的第一线智能设备(带状态能力的便捷路由)u在需要比包过滤更严格的安全控制,而不用增加太多成本的情况下应用网关防火墙(ApplicationGat

5、ewayFirewall):通常称为代理防火墙或简称为应用网关,它是在应用层处理信息。应用网关防火墙可以支持一个应用,也可以支持有限数量的多个应用,这些应用通常包括E-mail,Web服务,DNS,FTP等1.认证过程现在很多AGF在对用户进行一次身份认证后,使用存储在数据库中的授权信息来确认该用户对各个资源的访问权限,而不需要用户为每个想访问的资源进行单独的认证。2.认证方式一个AGF可以使用多种方式来认证,包括用户名和口令,令牌卡信息,网络层源地址以及生物信息等。传输认证信息时必须加密,一般加密的方式为SSH。3.应用级网关防火墙的类型u连接网关防火墙(CGF,Connec

6、tionGatewayFirewall):这种防火墙比CTP要安全,但是CGF可能会引入明显的延迟,尤其是当CGF要处理大量连接的时候。u直通代理防火墙(CTP,Cut-ThroughPrixy):当外部A想要访问内部服务器B时,CTF截获该请求并认证A,认证后,这个连接和其他被认证的连接被添加到过滤规则表中。而从这以后,任何从A往B的流量都有过滤规则在网络层和传输层上处理。所以,这种方式不能检测出应用层攻击。4.应用网关的优点u认证个人而非设备u使黑客进行欺骗和实施Dos攻击比较困难u能够监控和过滤应用层的信息u能够提供详细的日志5.应用网关的局限性u用软件处理数据包u支持的

7、应用比较有限u有时要求特定的客户端软件应用网关的主要局限性在于它属于处理密集性过程,这将占用大量的CPU和内存资源,另外,详尽的日志功能会占用大量的硬盘存储空间,可以通过两种方法来解决这个问题:Ø使用CTPØ将AGF设置成只监控关键应用6.应用网关防火墙的应用环境uCGF通常被用作主要的过滤设备(此时边界路由可能用作或不用做第一线防御设备)uCTP通常被用作边界防御设备u应用代理用来减轻CGF上的日志过载并监控和记录其他类型的流量分布式防火墙: 1.工作机制     分布式防火墙由安全策略管

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。