欢迎来到天天文库
浏览记录
ID:34276716
大小:6.45 MB
页数:82页
时间:2019-03-04
《防火墙技术教学ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、防火墙相关知识议程防火墙概述定义架构主流技术防火墙功能以及其实现可以依赖防火墙的不可以依赖防火墙的总结防火墙概述安全产品的形象比喻安全运输读卡器闭路电视监控室进入系统的安全门监视和报警巡逻保安防火墙和路由器访问控制列表网络入侵检测安全代理程序中央控制的安全和策略管理身份识别、AAA认证、访问控制服务器及证书验证加密及虚拟专网(VPN)防火墙知识定义:防火墙应当是两个或多个网络之间信息必须流经的节流单点,流经数据应可被控制、记录(认证)来源建筑词汇,用于限制(潜在的)火灾在建筑内部的蔓延,后被引申至信息安全领域中访问控制
2、、边界整合类的middlebox产品1988年DigitalEquipmentCorporation(DEC)开发出了第一款防火墙:SEAL(SecureExternalAccessLink)摘自http://en.wikipedia.org/wiki/Firewall_(networking)防火墙文化一段台词“--John,letsfeeditatapeworm.--Nah,it’stoorisky.Itmightsmashthesystem.--How’dthekidgetin—throughthebackd
3、oor?--Wetookitout.--Canweinvadethedeeplogic?--Wekeephittingadamnfirewall.”取自电影《wargame》(1983)防火墙需求的产生操作系统和应用安全问题溢出蠕虫安全策略执行全局安全策略的一部分信息泄漏防止企业敏感信息外泄审计辅助系统、入侵检测日志阻止信息访问CHIPA:Children‘sInternetProtectionAct通用基础架构防火墙区域信任区非信任区DMZ防火墙实现应用层传输层网络层数据链路层防火墙硬件平台X86平台灵活开发,
4、投资少,周期短,无法满足高速环境NP架构灵活性适中,转发性能好ASIC架构开发投资大,周期长,性能好,升级难防火墙工作模式包过滤防火墙路由器实现包过滤功能应用层网关内、外网的“中间人”基于状态监测的包过滤防火墙主流技术物理层数据链路层网络层传输层会话层表示层应用层应用层防火墙状态监测包过滤包过滤防火墙包过滤防火墙对含有IP地址(源、目的)、端口号(源、目的)、协议类型等内容的包头进行检测典型产品:路由器优点高效对用户透明缺点检测不考虑数据内容、会话连接物理层数据链路层网络层传输层会话层表示层应用层包过滤包过滤包过滤信息
5、数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度)到达防火墙的哪一个接口上,从防火墙的哪一个接口上出去传输层头部选项和标志位数据包到达的日期和时间主要威胁IP欺骗在数据包包头中插入虚假源地址,以使该数据包看似发自受信源解决方法:确定数据包并非来自包头指示位置IP源路由选项允许数据包源的用户指定通向某一目的地的路径多用于排错同样被利用与伪造受信源地址路由器检测异常流量路由器对数据包进行标识,阻塞URL和字节数匹配访问列表,策略路由.Router(config)#class−mapmatch−anyhttp
6、−hacksRouter(config−cmap)#matchprotocolhttpurl"*cmd.exe*"Router(config−cmap)#matchprotocolhttpurl"*root.exe*“Router(config)#policy−mapmark−inbound−http−hacksRouter(config−pmap)#classhttp−hacksRouter(config−pmap)#setipdscp1Router(config)#interfaceethernet0/0Route
7、r(config−if)#service−policyinputmark−inbound−http−hacksmatch-any,进行或(满足任一),定义流类型如何处理URL关键字matchpacketlengthmin404max404字节数阻塞基于应用访问列表Router(config)#access−list105denyipanyanydscp1logRouter(config)#access−list105permitipanyanyRouter(config)#interfaceethernet0/1Rou
8、ter(config−if)#ipaccess−group105out基于策略Router(config)#policy−mapdrop−inbound−http−hacksRouter(config−pmap)#classhttp−hacksRouter(config−pmap)#police10000003125031250c
此文档下载收益归作者所有