返回
c信息安全课件ha

c信息安全课件ha

ID:36322106

大小:724.00 KB

页数:50页

时间:2019-05-09

c信息安全课件ha_第1页
c信息安全课件ha_第2页
c信息安全课件ha_第3页
c信息安全课件ha_第4页
c信息安全课件ha_第5页
资源描述:

《c信息安全课件ha》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第六章防火墙技术防火墙是广泛应用的一种网络安全的防护手段,它对计算机通信网络起到访问控制的保护作用。6.1基本概念6.2包过滤技术6.3代理服务6.4防火墙产品举例6.5小结本节介绍防火墙的定义、作用、体系结构以及类型等基本概念。6.1.1防火墙基本知识6.1.2防火墙的作用6.1.3防火墙类型及体系结构6.1.4防火墙的形式6.1.5防火墙的局限性6.1基本概念6.1.1防火墙基本知识1、什么是防火墙防火墙是在两个网络之间执行访问控制策略的一组硬件和软件系统,其目的是保护本地网络的通信安全。从逻辑上讲,防火墙是分离

2、器、限制器和分析器。2、防火墙的保护功能防火墙对内部网络的保护是双向的,从入的方向上,它阻止外面网络对本地网络的非法访问和入侵,从出的方向上,它控制本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内部信息的泄露。3、堡垒主机典型的防火墙建立在一个服务器或主机的机器上,也称为“堡垒主机”,它是一个多边协议路由器。这个堡垒主机连接两个网络,一边与内部网相连,另一边与因特网相连。防火墙内网外网6.1.1防火墙基本知识6.1.2防火墙的作用防火墙的作用可以体现在以下几个方面:1、防火墙能够强化安全策略2、防火墙能

3、有效地记录因特网上的活动3、防火墙限制暴露用户点4、防火墙是一个安全策略的检查站6.1.3防火墙类型及体系结构防火墙的体系结构可分为以下三种类型:1.双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。2、主机过滤体系结构主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外,主机过滤结构还有一台单独的路由器(过滤路由器)。3、子网过滤体系结构子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开。6.1.4防火墙的形式为了提高网

4、络的防护能力,在建造防火墙时,一般都是把多种单一的技术组合起来,构成复合的防火墙。1、使用多堡垒主机多堡垒主机是堡垒主机与堡垒主机的组合形式。这种组合形式中,如果一台堡垒主机被攻击瘫痪,可由另一台堡垒主机提供服务。2、内部路由器与外部路由器的组合将内部路由器与外部路由器可以合并为一个路由器,合并后的路由器应该具有更加强大的功能性和灵活性,合并的路由器,在每一个接口上指定入站和出站的过滤器。3、堡垒主机与路由器组合堡垒主机与外部路由器组合。在这种情况下,用户使用单一的双重宿主主机作为用户的堡垒主机和外部路由器。堡垒主机

5、与内部路由器组合。如果将堡垒主机与内部路由器合并,其实已从根本上改变了防火墙的结构,这种组合对加强网络的安全性意义不大。4、使用双重宿主主机与子网过滤通过组合双重宿主主机体系结构与子网过滤体系结构,用户的安全防范便可得到明显的增强,这可以通过拆分参数网络并且插入双重宿主主机实现。6.1.4防火墙的形式6.1.5防火墙的局限性在计算机通信信息安全中,任何安全措施都不是万能的,都存在一定的缺陷。防火墙也不例外,它在对网络的安全防护上也是有缺点的,存在一定的局限性。主要表现在以下几个方面:1、不能防范内部威胁2、不能防范绕

6、开它的攻击3、防火墙不能自动防御新威4、防火墙不能有效防范病毒6.2包过滤技术简单的防火墙可以是在路由器上安装一套具备包过滤功能的软件,这是使因特网联接更加安全的一种简单方法,因为包过滤是路由器的固有属性。6.2.1包过滤原理6.2.2包过滤的基本原则6.2.3包过滤技术特点6.2.4数据包结构6.2.5地址过滤6.2.6服务过滤6.2.7内容过滤6.2.8包过滤实现6.2.1包过滤原理1、包的概念包过滤是一种安全机制,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。包过滤路由器是具有包过滤特性的一种路由器。在

7、对包做出路由决定时,普通路由器只依据包的目的地址引导包,而包过滤路由器就必须依据路由器中的包过滤规则做出是否引导该包的决定。2、包过滤的工作过程包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的判据:(1)将包的目的地址作为判据;(2)将包的源地址作为判据;(3)将包的传送协议作为判据。大多数包过滤系统判决是否传送包时都不关心包的具体内容。包过滤系统只能让我们进行类似以下情况的操作:(1)不让任何用户从外部网用Telnet登录;(2)允许任何用户使用SMTP向内部网发电子邮件;(3)只允许某台机器通过NNTP

8、向内部网发新闻。6.2.1包过滤原理包过滤不能允许我们进行如下的操作:(1)允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。(2)允许用户传送一些文件而不允许用户传送其他文件。虽然包过滤系统有许多优点,但它也有一些缺点及局限性:(1)在机器中配置包过滤规则比较困难;(2)对系统中包过滤规则的配置进行测试也较麻烦;(3)许多产

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。