网络安全原理与应用(第二版)戚文静 第5章 防火墙技术

网络安全原理与应用(第二版)戚文静 第5章 防火墙技术

ID:40336586

大小:452.00 KB

页数:30页

时间:2019-07-31

网络安全原理与应用(第二版)戚文静 第5章 防火墙技术_第1页
网络安全原理与应用(第二版)戚文静 第5章 防火墙技术_第2页
网络安全原理与应用(第二版)戚文静 第5章 防火墙技术_第3页
网络安全原理与应用(第二版)戚文静 第5章 防火墙技术_第4页
网络安全原理与应用(第二版)戚文静 第5章 防火墙技术_第5页
资源描述:

《网络安全原理与应用(第二版)戚文静 第5章 防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章防火墙技术Ø防火墙及相关概念Ø包过滤与代理Ø防火墙的体系结构Ø分布式防火墙与嵌入式防火墙5.1防火墙概述防火墙的概念防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障着内部网络的安全Ø外部网络(外网):防火墙之外的网络,一般为Internet,默认为风险区域。Ø内部网络(内网):防火墙之内的网络,一般为局域网,默认为安全区域。Ø非军事化区(DMZ):为了配置管理方便,内网中需要向外网提供服务的服务器(如WWW、FTP、SMTP、DNS等)往往放在Int

2、ernet与内部网络之间一个单独的网段,这个网段便是非军事化区。Ø包过滤,也被称为数据包过滤,是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个数据包,根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。代理服务器,是指代表内部网络用户向外部网络中的服务器进行连接请求的程序2、几个常用概念3.防火墙安全策略(1)除非明确允许,否则就禁止这种方法堵塞了两个网络之间的所有数据传输,除了那些被明确允许的服务和应用程序。因此,应该逐个定义每一个允许的服务和应用程序,而任何一个

3、可能成为防火墙漏洞的服务和应用程序都不能允许使用。这是一个最安全的方法,但从用户的角度来看,这样可能会有很多限制,不是很方便。一般在防火墙配置中都会使用这种策略。(2)除非明确禁止,否则就允许这种方法允许两个网络之间所有数据传输,除非那些被明确禁止的服务和应用程序。因此,每一个不信任或有潜在危害的服务和应用程序都应该逐个拒绝。虽然这对用户是一个灵活和方便的方法,它却可能存在严重的安全隐患。5.1.2防火墙的作用(1)可以限制未授权用户进入内部网络,过滤掉不安全服务和非法用户;(2)防止入侵者接近内部网络的防御设施,对网

4、络攻击进行检测和告警;(3)限制内部用户访问特殊站点;(4)记录通过防火墙的信息内容和活动,监视Internet安全提供方便。5.1.3防火墙的优、缺点1.优点防火墙是加强网络安全的一种有效手段,它有以下优点:(1)防火墙能强化安全策略(2)防火墙能有效地记录Internet上的活动(3)防火墙是一个安全策略的检查站2.缺点(1)不能防范恶意的内部用户防火墙可以禁止内部用户经过网络发送机密信息,但用户可以将数据复制到磁盘上带出去。如果入侵者已经在防火墙内部,防火墙也是无能为力的。内部用户可以不经过防火墙窃取数据、破坏硬

5、件和软件,这类攻击占了全部攻击的一半以上。(2)不能防范不通过防火墙的连接防火墙能够有效防范地通过它传输的信息,却不能防范不通过它传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。(3)不能防范全部的威胁防火墙被用来防范已知的威胁,一个很好的防火墙设计方案可以防范某些新的威胁,但没有一个防火墙能自动防御所有的新的威胁。(4)防火墙不能防范病毒防火墙不能防范从网络上传染来的病毒,也不能消除计算机已存在的病毒。无论防火墙多么安全,用户都需要一套防毒软件来防范病毒

6、。5.2防火墙技术分类(1)包过滤防火墙又称网络层防火墙,它对进出内部网络的所有信息进行分析,并按照一定的信息过滤规则对信息进行限制,允许授权信息通过,拒绝非授权信息通过。(2)代理服务器这种防火墙是目前最通用的一种,基本工作过程是:当客户机需要使用外网的服务器上的数据时,首先将数据请求发给代理服务器,代理服务器根据请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。同样的道理,代理服务器在外网向内网申请服务时也发挥了中间转接的作用。5.2.1包过滤技术包过滤(PacketFiltering)技术在网络层中对数

7、据包实施有选择的通过,依据系统事先设定好的过滤规则,检查数据流中的每个包,根据包头信息来确定是否允许数据包通过,拒绝发送可疑的包。使用包过滤技术的防火墙叫做包过滤防火墙(Packetfilter),因为它工作在网络层,又叫网络层防火墙(Networklevelfirewall)。包过滤防火墙一般由屏蔽路由器(ScreeningRouter,也称为过滤路由器)来实现,这种路由器是在普通路由器基础上加入IP过滤功能而实现的,这是防火墙最基本的构件。包过滤防火墙读取包头信息,与信息过滤规则比较,顺序检查规则表中每一条规则,直

8、至发现包中的信息与某条规则相符。如果有一条规则不允许发送某个包,路由器就将它丢弃;如果有一条规则允许发送某个包,路由器就将它发送;如果没有任何一条规则能符合,路由器就会使用默认规则,一般情况下,默认规则就是禁止该包通过。2.包过滤防火墙的优点包过滤防火墙具有明显的优点:(1)一个屏蔽路由器能保护整个网络一个恰当配置的屏蔽路由器连接

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。