返回
网络安全员培训-防火墙技术精要

网络安全员培训-防火墙技术精要

ID:43243108

大小:2.18 MB

页数:55页

时间:2019-10-07

网络安全员培训-防火墙技术精要_第1页
网络安全员培训-防火墙技术精要_第2页
网络安全员培训-防火墙技术精要_第3页
网络安全员培训-防火墙技术精要_第4页
网络安全员培训-防火墙技术精要_第5页
资源描述:

《网络安全员培训-防火墙技术精要》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第六章防火墙技术什么是防火墙古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙防火墙作为安全防护体系中的一个重要组成部分,一般配置于网关的位置,主要防范围网络层的威胁(扫描攻击、漏洞溢出攻击、拒绝服务攻击等)。什么是防火墙防火墙的定义隔离内部网络与外界网络的一道安全防御系统网络安全最主要和最基本的基础设施不会妨碍人们对风险区域的访问内部网络Internet什么是防火墙防火墙的基本概念数据包过滤:检查IP数据包决定允许和拒绝。代理服务器:负责数据的转发。状态检测:根据事先确定合法过程模式,判断非法与合法。DMZ区

2、:隔离区或非军事区。隧道路由器:通过加密实现安全通过非安全网络。虚拟专用网:使用隧道路由器连接的网络。IP地址欺骗/DNS欺骗防火墙的主要作用1、过滤进出网络的数据包2、管理进出网络的访问行为3、封堵某些禁止的访问行为4、记录通过防火墙的信息内容和活动5、对网络攻击进行检测和告警防火墙的局限性1、不能防范不经过防火墙的攻击2、不能解决来自内部网络的攻击和安全问题3、不能防止策略配置不当或错误配置引起的安全威胁4、不能防止可接触的人为或自然的破坏5、不能防止利用标准网络协议设计缺陷的攻击6、不能防止利用服务器漏洞进行的

3、攻击7、不能防止受病毒感染的文件的传输8、不能防止数据驱动式攻击9、不能防止内部的泄密行为10、不能防止本身的安全漏洞和威胁主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问另一指定网络基于路由器的防火墙其实防火墙的完成主要是靠访问控制列表(ACL)的控制策略。那么什么是访问控制列表呢?基于路由器的防火墙特点:利用路由器本身对分组的解析,以访问控制表方式实现对分组的过滤过滤依据:IP地址,端口号,ICMP报文类型等只有分组过滤的功能,路由器与防火墙一体(安全要求较低环境)缺陷:路由器本身具有安全漏洞配置复杂

4、伪造IP欺骗防火墙降低路由器的性能用户化的防火墙特点:过滤功能独立,并加上审计和告警的功能根据用户需求,提供模块化设计软件可通过网络发送,用户可以自己手动构造防火墙缺陷:配置和维护复杂用户技术要求高全软件实现,安全性和处理速度有局限实践表明,使用中出现差错的情况很多通用操作系统的防火墙特点:批量上市的防火墙专用产品包括分组过滤或者借用路由器的分组过滤功能有专用的代理系统,监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高缺陷:因操作系统缘故,安全性和保密性无从保护通用操作系统的厂商

5、不会对操作系统的安全负责即要防止外部攻击,还要防止通用操作系统厂商的攻击安全支持需要操作系统厂商和防火墙厂商同时提供安全操作系统的防火墙特点:防火墙厂商具有操作系统源码,可实现安全内核可以从内核来定制操作系统并实现加固对每个服务器和子系统都作了安全处理有分组过滤,应用网关,电路级网关,加密和鉴别功能透明性好,易于使用包过滤型防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配过滤规则是根据数据包的报头信息进行定义的“没有明确允许的都被禁止”7应用层6表示层3网络层防火墙检查模块4传输层5会话

6、层2数据链路层1物理层IPTCPSessionApplicationData与过滤规则匹配吗审计/报警还有另外的规则吗转发包吗发送NACK丢弃包结束通过分析IP数据包包头信息,进行判断(这里IP所承载的上层协议为TCP)IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个或更多元素定义的规则访问控制列表的工作原理匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含的拒绝丢弃YYYYYYNNN匹配下一步拒绝拒绝拒绝防火墙对访问控制列表的处理过程进入数据包源地址匹配吗?有更多条目

7、吗?应用条件拒绝允许是是否是否Icmp消息转发数据包接口上有访问控制列表吗?列表中的下一个条目否访问控制列表的入与出外出数据包查找路由表接口上有访问控制列表吗?源地址匹配吗?拒绝允许列表中的下一个条目是是转发数据包Icmp消息否否否有更多条目吗?应用条件是访问控制列表的入与出标准访问控制列表3-1标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包访问控制列表号从1到99标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤,表明是允许还是拒绝从172.16.4.0/24来的数据包可以通过!从172.16.3

8、.0/24来的数据包不能通过!路由器如果在访问控制列表中有的话应用条件拒绝允许更多条目?列表中的下一个条目否有访问控制列表吗?源地址不匹配是匹配是否Icmp消息转发数据包标准访问控制列表3-3标准访问控制列表的配置第一步,使用access-list命令创建访问控制列表第二步,使用ipaccess-group命令把访问控制列表应用到某接口Rout

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。