返回
防火墙原理-体系结构-系统设计

防火墙原理-体系结构-系统设计

ID:38298290

大小:5.75 MB

页数:72页

时间:2019-06-08

防火墙原理-体系结构-系统设计_第1页
防火墙原理-体系结构-系统设计_第2页
防火墙原理-体系结构-系统设计_第3页
防火墙原理-体系结构-系统设计_第4页
防火墙原理-体系结构-系统设计_第5页
资源描述:

《防火墙原理-体系结构-系统设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、防火墙原理与系统设计1、防火墙原理Internet上没有人能免于攻击政府企业个人1.1防火墙概述1.1防火墙概述通常意义上的防火墙:◆不同安全级别的网络或安全域之间的唯一通道◆只有被防火墙策略明确授权的通信才可以通过◆系统自身具有高安全性和高可靠性注意区分个人防火墙防火墙是位于两个(或多个)网络间,实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”,它是最重要的网络防护设备之一。1、基本概念网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。1.1防

2、火墙概述(1)不同安全级别的网络或安全域之间的唯一通道防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。1.1防火墙概述(2)只有被防火墙策略明确授权的通信才可以通过1.1防火墙概述(3)系统自身具有高安全性和高可靠性防火墙自身应具有非常强的抗攻击免疫力。防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。1.2防火墙的功能防火墙的功能1)限定内部用户访问

3、特殊站点。2)防止未授权用户访问内部网络。3)允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。4)记录通过防火墙的信息内容和活动。5)对网络攻击进行监测和报警。防火墙的基本功能:访问控制基于源MAC地址基于目的MAC地址基于源IP地址基于目的IP地址基于源端口基于目的端口基于方向基于时间基于用户基于流量基于内容1.2防火墙的功能路由功能NAT功能VPN功能用户认证防火墙的扩展功能:带宽控制日志审计流量分析1.2防火墙的功能1.防火墙能做什么?2.防火墙不能防范什么?防火墙能做什么防火墙并不能为网络防范一切,也不应该把它作为对所有安全

4、问题的一个最终解决方案,所以懂得哪些工作是防火墙能做的非常重要:(1)实现安全策略(2)创建一个阻塞点(3)记录网络活动(4)限制网络暴露1.实现安全策略安全策略对哪些人和哪些行为被允许做出规定。如一个常见的安全策略是允许任何人访问公司服务器上的Web站点,但是不允许telnet登陆到服务器上。1.实现安全策略防火墙可以使用的两种基本的安全策略:规则规定拒绝哪些访问,允许其余没规定的访问规则规定允许哪些访问,拒绝其余没规定的访问为了得到较高的安全性,一般采用第2个策略。2.创建一个阻塞点防火墙在一个公司私有网络和分网间建立一个检查点。这种实现要求所有的流量都

5、要通过这个检查点。在该检查点防火墙设备就可以监视,过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。没有防火墙,分散管理,效率低下使用防火墙,集中管理,高效率3.记录网络活动防火墙还能够监视并记录网络活动,并且提供警报功能。通过防火墙记录的数据,管理员可以发现网络中的各种问题。例如,通过查看安全日志,管理员可以找到非法入侵的相关纪录,从而可以做出相应的措施。4.限制网络暴露防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的

6、布局以及都有些什么。例如,防火墙的NAT功能可以隐藏内部的IP地址;代理服务器防火墙可以隐藏内部主机信息。防火墙不能做什么除了懂得防火墙能保护什么非常重要外,懂得防火墙不能保护什么也是同等重要:1.病毒与特洛伊木马2.社会工程3.物理故障4.不当配置和内部攻击防火墙不能做什么总体来说,除了不能防止物理故障等错误外,防火墙本身并不能防范经过授权的东西,如内部员工的破坏等。例如,员工接收了一封包含木马的邮件,木马是以普通程序的形式放在了附件里,防火墙不能避免该情况的发生。2、防火墙体系结构222.防火墙体系结构包过滤型防火墙(PackageFilteringFi

7、rewall)双宿/多宿主机防火墙(Dual-Homed/Multi-HomedHostFirewall)屏蔽主机防火墙(ScreenedHostFirewall)屏蔽子网防火墙(ScreenedSubnetFirewall)其它防火墙结构232.1包过滤型防火墙包过滤型防火墙,往往可以用一台过滤路由器(ScreenedRouter)来实现,对所接收的每个数据包做允许/拒绝的决定包过滤型防火墙一般作用在网络层,故也称网络层防火墙或IP过滤器24查找对应的控制策略根据策略决定如何处理该数据包数据包2.1包过滤型防火墙数据包拆开数据包数据TCP报头IP报头分组过

8、滤判断信息企业内部网UDPDiscardHostCH

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。