返回
中国评测培训教程-防火墙产品技术原理

中国评测培训教程-防火墙产品技术原理

ID:40025307

大小:3.08 MB

页数:59页

时间:2019-07-17

中国评测培训教程-防火墙产品技术原理_第1页
中国评测培训教程-防火墙产品技术原理_第2页
中国评测培训教程-防火墙产品技术原理_第3页
中国评测培训教程-防火墙产品技术原理_第4页
中国评测培训教程-防火墙产品技术原理_第5页
资源描述:

《中国评测培训教程-防火墙产品技术原理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、防火墙技术June,2008议程防火墙的定义防火墙的分类防火墙的架构防火墙的技术2什么是防火墙FirewallDMZInternetintranet是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求3优点防火墙与路由器为一体;以访问控制列表的方式实现对分组的过滤;过滤判决依据:IP地址、端口号及其它特征;仅有分组过滤功能;适用于对安全性要求较低的网络;成本低、效率高,只能作为应急措施。缺点路由协议十分灵活,本身具有安全漏洞;分组过滤规则的设置和配置存在安全隐患;最大

2、隐患是:攻击者可以“假冒”IP地址;本质缺陷是:由于路由器的主要功能是为网络访问提供动态、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这形成了一对难以调和的矛盾。第一代:基于路由器的防火墙4第二代:用户化的防火墙特点:将过滤功能从路由器中单独分离出来;附加上了一些新功能,如安全审计和告警;针对用户需求,提供模块化的软件包;软件可通过网络发送,用户可自己动手构造;与第一代相比,安全性提高了,价格降低了。缺点:对管理员的技术要求比较高;系统配置和维护过程复杂、费时;全软件实现,安全性和处理速度均有限;实践表明,使用中出现差错的情况很多。5第三代:基于通用操

3、作系统的防火墙特点:包含分组过滤,或借用路由器分组过滤功能;装有代理系统,监控所有协议的数据和指令;保护用户编程空间和内核参数的设置;既可用纯软件实现,也可用硬件实现;安全性和速度大为提高。缺点:因源码保密,操作系统及内核不为用户所知;通用操作系统厂商不对防火墙的安全性负责;要防止网络外部和操作系统厂商的双重攻击;用户要依赖两方面的安全支持:防火墙厂商+操作系统厂商。6第四代:具有安全操作系统的防火墙特点:防火墙厂商掌握操作系统源码,可实现安全内核;可对操作系统内核实现优化加固处理;对每个服务器、子系统都作了安全处理;功能(分类):包过滤、应用级网关、复合型;具有加

4、密和认证功能;透明性好,易于使用。7当前防火墙的主要技术与功能增加了透明的代理技术,实现透明的访问方式;;三级过滤:分组过滤、应用网关、状态过滤;用户认证与加密;安全审计与告警;流媒体、IDS互动等功能。附加安全管理工具(如日志分析)NP技术在千兆防火墙中得到快速发展8防火墙分类1.从软、硬件形式上分为    软件防火墙和硬件防火墙以及芯片级防火墙2.从防火墙技术分为    “包过滤型”和“应用级”两大类3.从防火墙结构分为    单一主机防火墙、路由器集成式防火墙和分布式防火墙三种4.按防火墙性能分为    百兆级防火墙和千兆级防火墙两类9防火墙分类1011防火墙

5、核心技术包过滤技术状态检测包过滤技术应用代理技术复合技术地址翻译技术12安全网域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息,不能对应用层数据进行处理数据TCP报头IP报头分组过滤判断信息包过滤技术13包过滤技术目的端地址源端地址目的端口号源端口号数据TCP/UDP封包IP封包FirewallinternetLocalus

6、er14访问控制列表的作用拒绝某些不希望的访问访问控制列表具有区分数据包的能力15访问控制列表一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):16控制列表举例ruledenyicmpsource10.1.0.00.0.255.255destinationanyicmp-typehost-redirectruledenytcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255ICMP主机重定向报文10.1.0.0/1610.1.0.0/16TCP报文129.9.0.0/16202.38.1

7、60.0/24WWW端口129.9.0.0/16202.38.160.0/2417如何使用通配比较位通配比较位和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较通配比较和IP地址结合使用,可以描述一个地址范围18如何使用通配比较位IP地址与地址通配位的关系语法规定如下:在通配位中相应位为1的地址中的位在比较中被忽略。IP地址与通配位都是32位的数。如通配位是0x00ffffff(0.255.255.255),则比较时,高8位需要比较,其他的都被忽略。又如IP地址是129.102.1.1,通配位是0.0.255.255,则地址与通配位合在一起表示129.10

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。