返回
防火墙技术及应用ppt

防火墙技术及应用ppt

ID:37589719

大小:2.80 MB

页数:67页

时间:2019-05-12

防火墙技术及应用ppt_第1页
防火墙技术及应用ppt_第2页
防火墙技术及应用ppt_第3页
防火墙技术及应用ppt_第4页
防火墙技术及应用ppt_第5页
资源描述:

《防火墙技术及应用ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第8章防火墙技术及应用8.1防火墙技术概述8.1.1防火墙的概念防火墙是指设置在不同网络(如可信赖的企业内部局域网和不可信赖的公共网络)之间或网络安全域之间的一系列部件的组合,通过监测、限制、更改进入不同网络或不同安全域的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以防止发生不可预测的、潜在破坏性的入侵,实现网络的安全保护。防火墙是实现网络和信息安全的基础设施,一个高效可靠的防火墙应用具备以下的基本特性:·防火墙是不同网络之间,或网络的不同安全域之间的唯一出入口,从里到外和从外到里的所有信息都必须通过防火墙;·通过安

2、全策略来控制不同网络或网络不同安全域之间的通信,只有本地安全策略授权的通信才允许通过;·防火墙本身是免疫的,即防火墙本身具有较强的抗攻击能力。8.1.2防火墙的基本功能1.监控并限制访问2.控制协议和服务3.保护内部网络4.网络地址转换(NAT)5.虚拟专用网(VPN)6.日志记录与审计8.1.3防火墙的基本原理所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查,而且检查的项目越多、层次越深,则防火墙越安全。由于现在计算机网络结构采用自顶向下的分层模型,而分层的主要依据是各层的功能划分,不同层次功能的实现又是通过

3、相关的协议来实现的。所以,防火墙检查的重点是网络协议及采用相关协议封装的数据。8.1.4防火墙的基本准则1.所有未被允许的就是禁止的所有未被允许的就是禁止的,这一准则是指根据用户的安全管理策略,所有未被允许的通信禁止通过防火墙。2.所有未被禁止的就是允许的所有未被禁止的就是允许的,这一准则是指根据用户的安全管理策略,防火墙转发所有信息流,允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址等参数对未授权的用户或不信任的站点进行逐项屏蔽。8.2防火墙的应用8.2.1防火墙在网络中的位置防火墙多应用于一个局域网的出口处(如

4、图8-1(a)所示)或置于两个网络中间(如图8-1(b)所示)。图8-1防火墙在网络中的位置8.2.2使用了防火墙后的网络组成防火墙是构建可信赖网络域的安全产品。如图8-2所示,当一个网络在加入了防火墙后,防火墙将成为不同安全域之间的一个屏障,原来具有相同安全等级的主机或区域将会因为防火墙的介入而发生变化.图8-2使用防火墙后的网络组成1.信赖域和非信赖域当局域网通过防火墙接入公共网络时,以防火墙为节点将网络分为内、外两部分,其中内部的局域网称为信赖域,而外部的公共网络(如Internet)称为非信赖域。2.信赖主机和非信赖主机位

5、于信赖域中的主机因为具有较高的安全性,所以称为信赖主机;而位于非信赖域中的主机因为安全性较低,所以称为非信赖主机。3.DMZDMZ(Demilitarizedzone)称为“隔离区”或“非军事化区”,它是介于信赖域和非信赖域之间的一个安全区域。8.2.3防火墙应用的局限性1.防火墙不能防范未通过自身的网络连接对于有线网络来说,防火墙是进出网络的唯一节点。但是如果使用无线网络(如无线局域网),内部用户与外部网络之间以及外部用户与内部网络之间的通信就会绕过防火墙,这时防火墙就没有任何用处。2.防火墙不能防范全部的威胁防火墙安全策略的制

6、定建立在已知的安全威胁上,所以防火墙能够防范已知的安全威胁。3.防火墙不能防止感染了病毒的软件或文件的传输即使是最先进的数据包过滤技术在病毒防范上也是不适用的,因为病毒的种类太多,操作系统多种多样,而且目前的病毒编写技术很容易将病毒隐藏在数据中。4.防火墙不能防范内部用户的恶意破坏据相关资料统计,目前局域网中有80%以上的网络破坏行为是由内部用户所为,如在局域网中窃取其他主机上的数据、对其他主机进行网络攻击、散布计算机病毒等。这些行为都不通过位于局域网出口处的防火墙,防火墙对其无能为力。5.防火墙本身也存在安全问题防火墙的工作过程

7、要依赖于防火墙操作系统,与我们平常所使用的Windows、Linux等操作系统一样,防火墙操作系统也存在安全漏洞,而且防火墙的功能越强、越复杂,其漏洞就会越多。8.3防火墙的基本类型8.3.1包过滤防火墙包过滤防火墙是最早使用的一种防火墙技术,它在网络的进出口处对通过的数据包进行检查,并根据已设置的安全策略决定数据包是否允许通过。1.IP分组的组成2.包过滤防火墙的工作原理包过滤(PacketFilter)是在网络层中根据事先设置的安全访问策略(过滤规则),检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信

8、息(如协议、服务类型等),确定是否允许该数据包通过防火墙。如图8-5所示,当网络管理员在防火墙上设置了过滤规则后,在防火墙中会形成一个过滤规则表。当数据包进入防火墙时,防火墙会将IP分组的头部信息与过滤规则表进行逐条比对,根据比对结果决定是否允许数

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。