返回
信息安全概论-防火墙技术

信息安全概论-防火墙技术

ID:38783867

大小:22.43 KB

页数:10页

时间:2019-06-19

信息安全概论-防火墙技术_第1页
信息安全概论-防火墙技术_第2页
信息安全概论-防火墙技术_第3页
信息安全概论-防火墙技术_第4页
信息安全概论-防火墙技术_第5页
资源描述:

《信息安全概论-防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全概论-防火墙技术防火墙的定义防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。这里所说的防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。防火墙是一种装置,它是由软件或硬件设备组合成,通常处于企业的内部网与internet之间,限制internet用户对内部网络的访问以及管理内部用户访问外界的权限。从

2、实现山看,防火墙实际上是一个独立的进程或一组紧密联系的进程,运行于路由器服务器上,控制经过它的网络应用服务与数据。防火墙防止易受攻击的服务控制访问网点系统集中安全性增强保密,强化私有权有利于对网络使用、滥用的纪录统计防火墙的功能根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点实施防火墙的基本方针由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。Internet上

3、的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。实施防火墙的基本方针只允许访问特定的服务只拒绝访问特定的服务防火墙的必要性随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病

4、毒等。网络安全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信息化网络有攻击就需要有防御,防火墙是很主要的网络防御手段。防火墙特征网络通信必须通过防火墙合法数据可以通过防火墙防火墙本身不受攻击的影响使用最新安全技术人机界面良好,易于配置管理防火墙的局限性没有万能的网络安全技术,防火墙也不例外。防火墙有以下三方面的局限:防火墙不能防范网络内部的攻击。比如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令,并授予其临时的网络访问权限。防火墙不能防止传送己感

5、染病毒的软件或文件,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒。另外对于未知的威胁,防火墙很难防护。防火墙体系结构双宿主主机防火墙被屏蔽主机防火墙被屏蔽子网防火墙其它形式防火墙防火墙体系中的堡垒主机双宿主主机防火墙双宿主主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双宿主主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主主机模型如图所示。双宿主主机双宿主主机特性双宿主主机的安全至关重要。双宿主主机的性能很重要。双宿主主机的缺陷账号问题双宿网关防火墙存

6、储转发特定服务适合于代理转发拒绝所有的网络服务Telnet双宿主机实例建立监听端口,等待客户端连接收到连接请求,建立连接。进行身份验证如果用户合法,系统与服务器建立连接,开始通讯,并纪录用户的信息。系统进行数据转接。被屏蔽主机防火墙单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。被屏蔽主机防火墙优缺点相比双宿主主机具有更好的安全性和可用性如果堡垒主机被入

7、侵,则系统就不具有任何保密设施。路由器也是同样。屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一,因为在定义了“中立区”(DMZ,DemilitarizedZone)网络后,它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组,以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备,模型如图5-26所示。其它形式的防火墙体系结构将被屏蔽子网结构中的内部路由器和外部路由器合并屏蔽子网结构中堡垒主机与外部路由器合并使用多台堡垒主机使用多台外部路由器使用多个

8、周边网络堡垒主机堡垒主机是一种被强化的、可以防御的、可进攻的服务器。它被暴漏在因特网之上,作为进入内部网络的检查点,以达到把整个网络的安

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。