返回
防火墙技术与网络安全

防火墙技术与网络安全

ID:33909808

大小:447.50 KB

页数:39页

时间:2019-03-01

防火墙技术与网络安全_第1页
防火墙技术与网络安全_第2页
防火墙技术与网络安全_第3页
防火墙技术与网络安全_第4页
防火墙技术与网络安全_第5页
资源描述:

《防火墙技术与网络安全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、防火墙技术与网络安全姓名:学号:摘要防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境.本文介绍了防火墙技术的基本概念和系统结构,讨论了防火墙在现代网络安全中的应用,以及当前防火墙技术在防范网络攻击中的缺陷与不足。关键词网络安全防火墙分组过滤代理统一威胁管理一防火墙的概念与构成所谓防火墙就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制.它的实现有好多种形式,有些实现还是很复杂的,但基本原理原理却很简单.可以把它想象成一对开关,一个开关用来阻止传输,另一个开关用来允许传输. 设立防火墙的主要目的是保护一个网络不受来自另一个网络

2、的攻击.通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全.对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源.不同的防火墙侧重点不同.从某种意义上来说,防火墙实际上代表了一个网络的访问原则.如果某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(securitypolicy),即确定那些类型的信息允许通过防火墙,那些类型的信息不允许通过防火墙.防火墙的职责

3、就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外.  在设计防火墙时,除了安全策略以外,还要确定防火墙类型和拓扑结构.一般来说,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间.防火墙相当于一个控流器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,在这种情况下,防火墙检查进入和离去的报文分组的IP和TCP头部,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过.防火墙是用来实现一个组织机构的网络安全措施的主要设备.在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措

4、施.本文主要介绍下列防火墙的基本构件和技术:筛选路由器(screeningrouter)、分组过滤(packetfiltering)技术、双宿主机(dual-homedhost)、代理服务(ProxyService)、应用层网关(applicationlevelgateway)和堡垒主机(bastionhost).象筛选路由器这样的能够实现安全措施的路由器常常被称为安全路由器或安全网关,而实现安全管理的应用层网关又称为安全应用层网关.二防火墙的基本构件和技术2.1筛选路由器(ScreeningRouter)许多路由器产品都具有根据给定规则对报文分组进行筛选的功能,这些规则包括

5、协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段.例如在常用的Cisco路由器上就具有这种对报文分组进行筛选的功能,这种路由器被称为筛选路由器.最早的Cisco路由器只能根据IP数据报头部内容进行过滤,而目前的产品还可以根据TCP端口及连接建立的情况进行过滤,而且在过滤语法上也有了一定改进.筛选路由器提供了一种强有力的机制,可用于控制任何网络段上的通信业务类型.而通过控制一个网络段上的通信业务类型,筛选路由器可以控制该网络段上网络服务的类型,从而可以限制对网络安全有害的服务.筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业

6、务.路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤.因此,筛选路由器又称为分组过滤路由器.下面我们首先介绍应用筛选路由器时需要考虑的安全防线设置问题,以及筛选路由器与OSI模型的关系,分组过滤技术将在下一节讨论.识别危险区域根据1996年1月的统计,连入INTERNET的网络大约为60,000个左右,主机总数则已超过900万台.由于INTERNET上有如此众多的用户,其中难免有少数居心不良的所谓“黑客”.这种情况就象迁入一个大城市时会遇到犯罪问题一样.在大城市中,使用带锁的门来保护我们的居室是明智之举.在这种环境下要求凡事要小心谨慎,因此当

7、有人来敲我们的门时,应首先查看来人,再决定是否让来人进入.如果来人看起来很危险(安全风险很高),则不应让其进来.类似地,筛选路由器也通过查看进入的分组来决定它们当中是否有可能有害的分组.企业网络中的边界被称为安全环形防线.由于在INTERNET上危险的“黑客”很多,确定一个危险区域是很有用的.这个危险区域就是指通过INTERNET可以直接访问的所有具有TCP/IP功能的网络.这里“具有TCP/IP功能”是指一台主机支持TCP/IP协议和它所支持的上层协议.“直接访问”是指在INTERNET和企业网络的主

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。