计算机网络安全 沈鑫剡 第7章

计算机网络安全 沈鑫剡 第7章

ID:40344554

大小:1.85 MB

页数:29页

时间:2019-07-31

计算机网络安全 沈鑫剡 第7章_第1页
计算机网络安全 沈鑫剡 第7章_第2页
计算机网络安全 沈鑫剡 第7章_第3页
计算机网络安全 沈鑫剡 第7章_第4页
计算机网络安全 沈鑫剡 第7章_第5页
资源描述:

《计算机网络安全 沈鑫剡 第7章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机网络安全第七章第7章防火墙防火墙概述;分组过滤器;堡垒主机;统一访问控制。防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备,尤其适用于内部网络和外部网络之间的连接处。防火墙概述防火墙功能服务控制不同网络间只允许传输与特定服务相关的信息流。方向控制不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。用户控制不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。行为控制不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。如果不与操作系统的安全访问机制相结合,个人防火墙的功能相对简单;有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能,但

2、对终端用户是透明的。防火墙概述防火墙分类电路层网关对运输层连接进行监测和控制,包括连接发起者的身份认证、经过连接传输的TCP报文的合理性等;应用层网关对特定应用相关的消息交换过程实施监测控制和,包括请求、响应过程,请求、响应报文中各字段的正确性,传输内容的合理性和合法性等。防火墙概述电路层网关工作机制先认证用户身份,确定是授权用户发起的TCP连接时,再与服务器建立TCP连接。7.2分组过滤器无状态分组过滤器;有状态分组过滤器。分组过滤器根据规则鉴别出一组多个字段值等于设定值的IP分组,并对其进行规定操作。这些字段值可以是IP分组首部字段值,可以是运输层首部字段值(电路层网关功能),

3、也可以是应用层消息的各个字段值(应用层网关的功能)。有状态和无状态的区别在于无状态逐个IP分组单独处理,有状态是基于会话,对属于相同会话的一组IP分组进行联合处理,会话可以是TCP连接,也可以是应用层请求、响应过程。因此,有状态分组过滤器的功能涵盖了电路层和应用层网关的大部分功能,但分组过滤器对终端用户是透明的。源IP地址=192.1.1.0/24一、分组过滤目的IP地址=192.1.1.0/24目的IP地址=192.1.2.0/24源IP地址=192.1.2.0/24目的IP地址=192.1.3.0/24源IP地址=192.1.3.0/24源IP地址=193.1.1.0/24.a

4、nd.目的IP地址=193.1.2.5/32.and.目的端口号=23,对和规则匹配的IP分组采取的动作是:拒绝传输。一、分组过滤要求LAN1中终端不能通过TELNET访问LAN2中服务器。IP分组的源地址属于LAN1子网地址,目的地址是LAN2服务器,端口号必须确定是TELNET应用。只允许LAN2中终端访问LAN1中的WEB服务器。源IP地址=193.1.1.3.and.目的IP地址=193.1.2.0/24.and.源端口号=80,对和规则匹配的IP分组采取的动作是:允许传输。不允许和LAN1中终端通过TELNET访问LAN2中服务器操作有关的信息经过路由器R1。防火墙-动态

5、分组过滤只允许终端A用Telnet访问终端B,不允许终端B访问终端A。终端A192.1.1.1终端B192.1.3.1源IP地址=192.1.3.1.and.目的IP地址=192.1.1.1.and.源端口号=23只允许终端B向终端A回信,不允许终端B主动向终端A写信。通过寄信人和收信人地址、姓名能区分这两种类型的信吗?对终端A写给终端B的信和终端B写给终端A的信的内容进行检查,确定是回信,则通过,不是,则过滤。防火墙-动态分组检测动态分组检测的第一步是将网络划分成三个区,然后对区间进行的访问过程全程监控。所谓全程监控是根据访问策略确定信息流顺序,然后对每一次信息流传输操作进行监控

6、,看其是否符合策略规定的顺序和动作。防火墙-动态分组检测访问策略1.从信任区到非军事区源IP地址=193.1.1.0/24目的IP地址=193.1.2.5/32HTTP服务;2.从信任区到非军事区源IP地址=193.1.1.0/24目的IP地址=193.1.2.6SMTP+POP3服务;3.从信任区到非信任区源IP地址=193.1.1.0/24目的IP地址=0.0.0.0HTTP+FTPGET服务;4.从非军事区到非信任区源IP地址=193.1.2.6/32目的IP地址=0.0.0.0SMTP服务;5.从非信任区到非军事区源IP地址=0.0.0.0目的IP地址=193.1.2.5/

7、32HTTPGET服务;6.从非信任区到非军事区源IP地址=0.0.0.0目的IP地址=193.1.2.6/32SMTP服务。访问策略和分组过滤不同,不是定义了允许或不允许传输的IP分组,而是定义了整个服务过程。如第一项策略表示允许进行由信任区中终端发起的,对非军事区中的WEB服务器的访问。它允许符合这个访问过程的IP分组在信任区和非军事区之间传输。防火墙-动态分组检测策略1对应的信息交换过程,由于是允许信任区中终端发起对非信任区中WEB服务器的访问,因此,首先允许通

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。