返回
网络安全技术与实训 杨文虎 樊静淳 第 7 章防火墙

网络安全技术与实训 杨文虎 樊静淳 第 7 章防火墙

ID:43767099

大小:1.45 MB

页数:62页

时间:2019-10-14

网络安全技术与实训 杨文虎 樊静淳 第 7 章防火墙_第1页
网络安全技术与实训 杨文虎 樊静淳 第 7 章防火墙_第2页
网络安全技术与实训 杨文虎 樊静淳 第 7 章防火墙_第3页
网络安全技术与实训 杨文虎 樊静淳 第 7 章防火墙_第4页
网络安全技术与实训 杨文虎 樊静淳 第 7 章防火墙_第5页
资源描述:

《网络安全技术与实训 杨文虎 樊静淳 第 7 章防火墙》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第7章防火墙防火墙的体系结构7.3防火墙的主要应用7.4防火墙的分类7.2防火墙概述7.17.1防火墙概述7.1.1防火墙的基本概念在网络中,所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法。它实际上是一种隔离技术,属于经典的静态安全技术,用于逻辑隔离内部网络与外部网络,在两个网络通信时执行的一种访问控制尺度,它能允许自己“同意”的人和数据进入自己的网络,同时将自己“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络。图7.1防火墙应用示图防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之

2、间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击力。它是提供信息安全服务、实现网络和信息安全的基础设施。7.1.2防火墙的功能功能:网络安全的屏障强化网络安全策略对网络存取和访问进行监控和审计防止内部信息的外涉实现VPN的连接不能防御内部攻击不能防御绕过防火墙的攻击不能防御完全新的威胁不能防止传送已感染病毒的软件或文件。影响网络性能7.1.3防火墙的规则防火墙的安全规则由匹配条件和处理方式两部分组成。防火墙处于网络层数据包的源IP地址、目的

3、IP地址以及协议防火墙处于传输层TCP或UDP数据单元的源端口号、目的端口号防火墙处于应用层各种应用协议信息流向内/向外:通过防火墙向内/外网发送数据包表7.1防火墙匹配条件列表允许(Accept)允许包或信息通过拒绝(Reject)拒绝包或信息通过,并通知信源信息被禁止丢弃(Drop)直接将数据包或信息丢弃,并不通知信源信息被禁止表7.2防火墙处理方式列表7.2防火墙的分类7.2.1按软硬件分类硬件防火墙软硬件结合防火墙软件防火墙纯硬件方式,用专用芯片处理数据包,CPU只作管理之用固化计算机的方式,机箱+CPU+防火墙软件集成于一体(PCBOX结构)运行在通用

4、操作系统上的能安全控制存取访问的软件,性能依靠于计算机CPU、内存等使用专用的操作系统平台,避免了通用性操作系统的安全性漏洞采用专用或通用操作系统基于众所周知的通用操作系统如Windows、linux、UNIX等,对操作系统的安全依赖性很高表7.3软硬件防火墙性能对比列表硬件防火墙软硬件结合防火墙软件防火墙高带宽,高吞吐量,真正线速防火墙,即实际带宽与理论值可以达到一致核心技术仍然为软件,容易形成网络带宽瓶颈,满足中低带宽要求,吞吐量不高。通常带宽只能达到理论值的20%~70%由于操作系统平台的限制,极易造成网络带宽瓶颈。因此,实际所能达到的带宽通常只有理论值的

5、20%~70%续表硬件防火墙软硬件结合防火墙软件防火墙性价比高性价比一般性价比较低安全与速度同时兼顾中低流量时可满足一定的安全要求,在高流量环境下会造成堵塞甚至系统崩溃可以满足低带宽低流量环境下的安全需要,高速环境下容易造成系统崩溃续表硬件防火墙软硬件结合防火墙软件防火墙没有用户限制有用户限制,一般需要按用户数购买有用户限制,一般需要按用户数购买管理简单、快捷、具有良好的总体拥有成本。管理比较方便管理复杂,与系统有关,要求维护人员必须熟悉各种工作站及操作系统的安装及维护续表7.2.2按技术分类1.包过滤型防火墙又可分为静态包过滤和状态检测包过滤。(1)静态包过滤

6、是一种最初防火墙技术,被应用于路由器的访问控制列表,在网络层中对数据包实施有选择的通过。静态包过滤的优点在于逻辑简单,对网络性能影响最小,有较强的透明性且与应用层无关,无须改动应用层程序。其缺点在于对网络管理人员的技术要求高,否则容易出现配置不当带来的许多问题,各种安全要求难以充分满足,对于地址欺骗、绕过防火墙的连接无法控制。(2)状态检测包过滤技术避免了静态包过滤技术的致命缺陷,即为了某种服务必须保持某些端口的永久开放,例如多媒体、SQL应用等,它直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。状态检测包过滤的优点

7、在于支持几乎所有的服务,动态地打开某些服务端口,减少了端口开放的时间。缺点:但是由于它允许外部客户与内部主机直接连接,不能直接提供用户的鉴别机制,必须与AAA等服务器配合使用,造成实现技术的复杂化。2.代理型防火墙又可分为电路级网关和应用网关。①应用网关技术是建立在网络应用层上的协议过滤,用来过滤应用层服务,起到外部网络向内部网络或内部网络向外部网络申请服务时的转接作用。应用网关技术的优点在于配置简单,不允许内外主机直接连接,提供详细的日志记录,可以隐藏内部IP地址,灵活的用户授权机制和透明的加密机制,可以方便地将AAA服务集成。但是它的代理速度要比包过滤慢,而

8、且代理对用户不透明。②电

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。