《防火墙技术原理》PPT课件

《防火墙技术原理》PPT课件

ID:42038719

大小:2.03 MB

页数:82页

时间:2019-09-06

《防火墙技术原理》PPT课件_第1页
《防火墙技术原理》PPT课件_第2页
《防火墙技术原理》PPT课件_第3页
《防火墙技术原理》PPT课件_第4页
《防火墙技术原理》PPT课件_第5页
资源描述:

《《防火墙技术原理》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第12讲防火墙技术原理部分内容来自Topsec和Huawei公司的培训材料1目录2防火墙的概念安全域1安全域2HostAHostBHostCHostD两个安全域之间通信流的唯一通道SourceDestinationPermitProtocolHostAHostCPassTCPHostBHostCBlockUDP根据访问控制规则决定进出网络的行为3目录4防火墙的发展历程基于路由器的防火墙防火墙工具套基于通用操作系统的防火墙基于安全操作系统的防火墙5防火墙执行标准vGB/T18019-1999信息技术包过滤防火墙安全技术要求vGB/T18020-1999信息技术应用级防火墙安全技术要求vGB/T

2、18336-2001信息技术安全性评估准则vGB/T17900-1999网络代理服务器的安全技术要求vGB/T18018-1999路由器安全技术要求这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。6目录7防火墙的检测与过滤技术8包过滤防火墙的工作原理9应用代理防火墙的工作原理10状态检测防火墙的工作原理11完全内容检测防火墙的工作原理12目录13防火墙体系结构14防火墙的体系结构(1)•过滤路由器(FilteringRouter):–过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在此通过检查,实现报文过滤功能。–它的缺点是一旦被攻陷

3、后很难发现,而且不能识别不同的用户(没有日志记录)。15防火墙的体系结构(2)•双宿主主机(DualHomedGateway):–双宿主主机优于过滤路由器的地方是:堡垒主机的系统软件可用于维护系统日志。–它的致命弱点是:一旦入侵者侵入堡垒主机,则无法保证内部网络的安全。16防火墙的体系结构(3)•被屏蔽主机(ScreenedHostGateway):–通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发,来确保内部网络的安全。–弱点:如果攻击者进入屏蔽主机内,内网中的就会受到很大威胁;这与双宿主主机受攻击时的情形差不多。17防火墙的体系结构(4)•被屏蔽子网(ScreenedSubn

4、et):–这种结构是在内部网络和外部网络之间建立一个被隔离的子网,用两台过滤路由器分别与内部网络和外部网络连接,中间通过堡垒主机进行数据转发。–特点:如果攻击者试图进入内网或者子网,他必须攻破过滤路由器和双宿主主机,然后才可以进入子网主机,整个过程中将引发警报机制。18目录19防火墙的功能•基本功能•扩展功能–地址转换–防病毒–访问控制–VPN–VLAN支持•IPSECVPN–带宽管理(QoS)•PPTP/L2TP–入侵检测和攻击防御–用户认证–IP/MAC绑定–动态IP环境支持–数据库长连接应用支持–路由支持–ADSL拨号功能–SNMP网管支持–日志审计–高可用性20地址转换(NAT)20

5、2.102.93.54源地址:101.211.23.1HostA目地址:202.102.93.54源地址:192.168.1.21目地址:202.102.93.54101.211.23.2HostCHostD192.168.1.21192.168.1.25Eth0:IP报头数据101.211.23.1受保护网络IP报头数据Eth2:192.168.1.23防火墙v隐藏了内部网络的结构v内部网络可以使用私有IP地址v公开地址不足的网络可以使用这种方式提供IP复用功能21MAP(地址/端口映射)199.168.1.3199.168.1.2199.168.1.5199.168.1.4WWWFTPD

6、NSMAILv公开服务器可以使用私有地址v隐藏内部网络的结构199.168.1.6MAP199.168.1.2:80TO202.102.1.3:80MAP199.168.1.3:21TO202.102.1.3:21MAP199.168.1.5:25TO202.102.1.3:25hhtttptp:/://2/10929.1.10628.1.1.3.2MAP199.168.1.4:53TO202.102.1.3:53202.102.1.3Internet12.4.1.522防火墙的基本访问控制功能v基于源IP地址v基于目的IP地址v基于源端口Accesslist192.168.1.3to202

7、.2.33.2v基于目的端口Accessnat192.168.3.0toanypassv基于时间Access202.1.2.3to192.168.1.3blockv基于用户Accessdefaultpassv基于流量规则匹配成功v基于文件v基于网址v基于MAC地址HostCHostD23时间控制策略InternetHostCHostD在防火墙上制定基于时间的访问控制策略上班时间可以访上班时间不允许问公司的网络

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。