返回
计算机网络安全技术 第2版 石淑华 池瑞楠 chapter5 防火墙技术

计算机网络安全技术 第2版 石淑华 池瑞楠 chapter5 防火墙技术

ID:40344764

大小:3.10 MB

页数:64页

时间:2019-07-31

计算机网络安全技术 第2版 石淑华 池瑞楠 chapter5 防火墙技术_第1页
计算机网络安全技术 第2版 石淑华 池瑞楠 chapter5 防火墙技术_第2页
计算机网络安全技术 第2版 石淑华 池瑞楠 chapter5 防火墙技术_第3页
计算机网络安全技术 第2版 石淑华 池瑞楠 chapter5 防火墙技术_第4页
计算机网络安全技术 第2版 石淑华 池瑞楠 chapter5 防火墙技术_第5页
资源描述:

《计算机网络安全技术 第2版 石淑华 池瑞楠 chapter5 防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第五章防火墙技术深职院计算机网络技术专业池瑞楠本章学习目标了解防火墙的定义、发展简史、目的、功能、局限性及其发展动态和趋势。掌握包过滤防火墙和和代理防火墙的实现原理、技术特点和实现方式;熟悉防火墙的常见体系结构。熟悉防火墙的产品选购和设计策略。5.1 防火墙技术概述返回本章首页防火墙的定义防火墙的功能和局限性防火墙的发展简史防火墙的定义防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。它是不同网络或网络安全域之间信息的唯一出入口。防火墙的功能访问控制对网络存

2、取和访问进行监控审计防止内部信息的外泄支持VPN功能支持网络地址转换……防火墙的基本特征内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力防火墙的局限性防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等。防火墙不能解决来自内部网络的攻击和安全问题。防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙不能防止利用标准网络协议中的缺陷进行的攻击。防火墙不能防止利用服务器系统漏洞所进行的攻击。防火墙不能防止受病毒感染的文件的传输。防火

3、墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。防火墙不能防止可接触的人为或自然的破坏。防火墙的发展简史软件防火墙硬件防火墙按形态分类按保护对象分类保护整个网络保护单台主机网络防火墙单机防火墙5.2防火墙的分类保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂单机防火墙网络

4、防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙&网络防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高

5、高较强非常容易容易Price=Firewall仅获得Firewall软件,需要准备额外的OS平台安全性依赖低层的OS网络适应性弱(主要以路由模式工作)稳定性高软件分发、升级比较方便硬件+软件,不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强(支持多种接入模式)稳定性较高升级、更新不太灵活硬件防火墙&软件防火墙按防火墙的体系结构分类多宿主主机被屏蔽主机被屏蔽子网概念堡垒主机(Bastionhost):堡垒主机是一种配置了安全防范措施的网络上的计算机,堡垒主机为网络之间的通信提供了一个阻塞点,也就是说如果没有

6、堡垒主机,网络之间将不能相互访问。DMZ(DemilitarizedZone,非军事区或者停火区):为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施。双宿主主机 (Dual-HomedHostFirewall)双宿主主机(Dual-homedHost):有两个网络接口的计算机系统,一个接口接内部网,一个接口接外部网。被屏蔽主机(ScreenedHostFir

7、ewall)外部网络必须通过堡垒主机才能访问内部网络中的资源。内部网络中的计算机则可以通过堡垒主机或者屏蔽路由器访问外部网络中的某些资源被屏蔽子网 (ScreenedsubnetFirewall)内网可以访问外网内网可以访问DMZ外网不能访问内网外网可以访问DMZ中的服务器DMZ不能访问内网和外网5.3防火墙实现技术原理简单包过滤防火墙动态包过滤(状态检测)防火墙应用代理防火墙包过滤与应用代理复合型防火墙1.简单包过滤防火墙(Packetfiltering)数据包过滤技术的发展:静态包过滤、动态包过滤。包过滤防火墙在

8、网络层实现数据的转发,包过滤模块一般检查网络层、传输层内容,包括下面几项:①源、目的IP地址;②源、目的端口号;③协议类型;④TCP报头的标志位。简单包过滤防火墙的工作原理1应用层TCP层IP层网络接口层TCP数据IP数据TCPTCP数据IPETH数据TCP数据IP应用层TCP层IP层网络接口层TCP数据IP数据TCPTCP数据IPETH数据只

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。