返回
网络与信息安全第13章防火墙技术

网络与信息安全第13章防火墙技术

ID:40400134

大小:510.50 KB

页数:41页

时间:2019-08-01

网络与信息安全第13章防火墙技术_第1页
网络与信息安全第13章防火墙技术_第2页
网络与信息安全第13章防火墙技术_第3页
网络与信息安全第13章防火墙技术_第4页
网络与信息安全第13章防火墙技术_第5页
资源描述:

《网络与信息安全第13章防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第13章防火墙技术谈到网络安全,首先想到的一般就是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的基础和核心控制设备,在网络安全中具有举足轻重的地位。第13章防火墙技术NetworkandInformationSecurity13.1防火墙基本概念防火墙作为网络防护的第一道防线,它由软件或/和硬件设备组合而成,它位于企业或网络群体计算机与外界网络的边界,限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。第13章防火墙技术NetworkandInformationSecurity13

2、.2.1包过滤防火墙包是网络上信息流动的基本单位,它由数据负载和协议头两个部分组成。包过滤是基于协议头的内容进行过滤的。13.2防火墙类型及体系结构第13章防火墙技术NetworkandInformationSecurity13.2.2应用代理防火墙真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接——在协议栈的最高层检验所有的输入数据。第13章防火墙技术NetworkandInformationSecurity13.2.3电路级网关型防火墙电路级网关型防火墙起一定的代理服务作用,它监视两台主机建立连接时的握手信息,从而判断该会话请求是否合法,一旦会话连接有效,该

3、网关仅复制、传递数据。第13章防火墙技术NetworkandInformationSecurity13.2.4状态包检测防火墙状态包检测模式增加了更多的包和包之间的安全上下文检查,以达到与应用级代理防火墙相类似的安全性能。第13章防火墙技术NetworkandInformationSecurity13.2.5双重宿主主机体系结构(DualHomedHost)双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的,该计算机至少有两个网络接口(NIC)。第13章防火墙技术NetworkandInformationSecurity13.2.6屏蔽主机体系结构(Screene

4、dHost)屏蔽主机体系结构使用一个单独的路由器来提供外部网络与内部堡垒主机(BastionHost)连接的服务。第13章防火墙技术NetworkandInformationSecurity13.2.7屏蔽子网结构(ScreenedSubnetArchitectures)屏蔽子网结构通过进一步增加隔离内外网的边界网络(PerimeterNetwork)为屏蔽主机结构增添了额外的安全层。第13章防火墙技术NetworkandInformationSecurity13.3.1包过滤技术包过滤器是最原始的防火墙。包过滤器根据每个包头部内的信息来决定是否要将包继续传输,从而

5、增强安全性。理论上,包过滤器可以被配置为根据协议包头的任何部分进行判断,但是大部分的过滤器被配置成只过滤最有用的数据域,主要是:①IP地址②协议类型③TCP/UDP头信息④分片字段13.3防火墙的基本技术及附加功能第13章防火墙技术NetworkandInformationSecurity包过滤器通常可以使用路由器来实现。第13章防火墙技术NetworkandInformationSecurity创建包过滤规则在确定包过滤的配置规则之前,需要作如下决定:●打算提供何种网络服务,并以何种方向(从内部网络到外部网络,或者从外部网络到内部网络)提供这些服务。●是否限制内部

6、主机与因特网进行连接。●因特网上是否存在某些可信任主机,它们需要以什么形式访问内部网。第13章防火墙技术NetworkandInformationSecurity对于不同的包过滤产品,用来生成规则的信息也不同,但通常都包括以下信息:●接口和方向:包是流入还是离开网络,这些包通过哪种接口。●源和目的IP地址:检查包从何而来(源IP地址)、发往何处(目的IP地址)。●IP选项:检查所有选项字段,特别是要阻止源路由(SourceRouting)选项。●高层协议:使用IP包的上层协议类型,例如TCP还是UDP。●TCP包的ACK位检查:这一字段可帮助确定是否有,及以何种方向

7、建立连接。●ICMP的报文类型:可以阻止某些刺探网络信息的企图。●TCP和UDP包的源和目的端口:此信息帮助确定正在使用的是哪些服务。第13章防火墙技术NetworkandInformationSecurity以下是一些明确不能让它们通过防火墙的危险服务:●Telnet:如果让一个主机的这个端口打开,很可能给黑客提供一条访问系统资源的通路。●NetBIOS:如果让Windows或SMB服务器的这个端口对互联网提供服务,就等于让黑客像本地用户一样访问你的网络。●网络文件系统(NFS):如果允许这种服务数据通过防火墙,网络外部的某人很有可能会在网络中安装一个文件系统

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。