返回
4、防火墙原理及安全设计

4、防火墙原理及安全设计

ID:33743540

大小:211.90 KB

页数:25页

时间:2019-02-28

4、防火墙原理及安全设计_第1页
4、防火墙原理及安全设计_第2页
4、防火墙原理及安全设计_第3页
4、防火墙原理及安全设计_第4页
4、防火墙原理及安全设计_第5页
资源描述:

《4、防火墙原理及安全设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、玛赛安全课堂(4)防火墙的原理及安全设计研发部经理赵国富,Marsec,2002.3gfzhao@marsec.net本课程的基本内容©防火墙的原理与分类©防火墙系统的设计原则©防火墙的选择与维护©防火墙产品的测试与选型©网络的安全系统设计防火墙的原理1内容©Internet的安全风险©Internet的基本安全概念©防火墙的重要性©防火墙的基本概念©防火墙的基本功能©防火墙的局限性©防火墙的分类Internet的安全风险©纷繁复杂的Internet∑网络复杂∑用户层次复杂∑情况瞬息变化©企业网络出于商业

2、目的向公众开放©TCP/IP协议的自身弱点©攻击工具非常容易取得©安全教育严重不足一个典型的攻击者工具包©网络扫描器(networkscanner)©强力口令破解和常用字典口令破解©报文监听(sniffer)©特洛伊木马程序和运行库(Trojan)©选择性修改系统日志的工具©隐藏活动的工具©自动修改系统配置文件的工具©报告错误信息的检验和工具(boguschksum)2Internet上没有人能免于攻击政府企业个人Internet的基本安全概念©资源和信息∑Confidentiality∑Integrit

3、y∑Availability©接触资源和信息的人∑Authentication∑Authorization∑Nonrepudiation3防火墙的基本概念©什么是防火墙?∑防火墙是在一个组织的网络和Internet之间执行安全策略的一个或一组系统。我们希望防火墙具有的功能©过滤不安全因素,拒敌于国门之外©加强安全认证,控制资源和信息的使用©在安全认证的基础上,实现访问授权©减轻主机安全控制和安全配置的负担©提前发现攻击意图,防患于未然©记录攻击者的行踪,为法律解决提供依据防火墙的功能©过虑进出网络数据©管

4、理进出网络访问行为©记录通过防火墙的信息内容和活动©对网络攻击检测和告警©控制不安全的服务©站点访问控制©集中安全保护©强化私有权©网络连接的日志记录及使用统计4防火墙的基本功能©数据包过滤©服务代理©加密认证©记录和报警©VPN和带宽管理数据包的过滤©过滤的原理∑数据传输的分层与报头的结构∑物理链路层--Networkaccesslayer©以太网,FDDI,ATM∑网络层--Internetlayer©IP∑传输层--TransportLayer©TCPorUDP∑应用层--ApplicationLa

5、yer©FTP,Telnet,HTTP∑防火墙的过滤原理数据包的过滤ApplicationApplicationPresentationPresentationSessionSessionTransportTransportTransportNetworkNetworkDataLinkDataLinkDataLinkPhysicalPhysicalPhysicalFirewall5物理层数据报头的结构©物理报头:以太网,FDDI,ATM等IP报头结构TCP数据报头6过滤的种类©基于源IP地址和目标IP地址

6、的过滤©基于协议和端口的过滤©配合其他设备实现基于url的过滤和病毒的过滤过滤讲解-TelnetFIREWALLServerClient服务方向包方向源地址目标地址包类型源端口目标端口ACK设置出流出内部外部TCPX23A出流入外部内部TCP23XY入流入外部内部TCPX23A入流出内部外部TCP23XY过滤讲解-Telnet规则方向源地址目标地址协议源端口目标端口ACK设置动作A出内部任意TCP>102323任意YB入任意内部TCP23>1023是YC双向任意内部TCP任意任意任意N7数据包过滤的优点©

7、成本较低©对上层服务协议透明©处理速度相对较快,尤其是在一些专用防火墙设备上可以保证用户的接入速度。数据包过滤的缺点•当过滤策略较多的时候,不容易掌握,并且会降低数据包转发效率。•容易成为IPSpoofing技术的攻击对象•需要系统管理员具有较丰富的TCP/IP网络管理的经验•不能控制基于上层服务的攻击•在单独承担防火墙系统功能时,安全性较差设置过滤需要考虑的问题©过滤处理的速度©可以检查的内容©实现过滤规则的顺序©是否可以将规则独立的实施在每一个硬件设备的端口©记录©测试和验证功能8代理©代理的原理∑内

8、部用户能够通过它来实现对外部网络的交互访问。©代理服务的种类∑应用层代理服务∑回路层代理服务代理服务的工作原理应用层代理服务9应用层代理服务器(Proxy)TelnetFTPHTTPApplicationApplicationApplicationPresentationPresentationPresentationSessionSessionSessionTransportTransportTransportNetwork

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。