计算机网络安全基础第8章

计算机网络安全基础第8章

ID:44968136

大小:277.00 KB

页数:73页

时间:2019-11-06

计算机网络安全基础第8章_第1页
计算机网络安全基础第8章_第2页
计算机网络安全基础第8章_第3页
计算机网络安全基础第8章_第4页
计算机网络安全基础第8章_第5页
资源描述:

《计算机网络安全基础第8章》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第8章防火墙技术本章主要介绍:1.防火墙基本概念2.防火墙的基本功能3.防火墙的体系结构4.包过滤5.代理服务6.堡垒主机以及防火墙的选购原则2021/7/24计算机网络安全基础8.1防火墙基本概念8.1.1因特网防火墙1.防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。通常,防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机,又称为堡垒主机。其目的如同一个安全门,为门内

2、的部门提供安全,控制那些可被允许出入该受保护环境的人或物。就像工作在前门的安全卫士,控制并检查站点的访问者。2021/7/24计算机网络安全基础8.1防火墙基本概念防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度,防火墙可以看成是安装在两个网络之间的一道栅栏,根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。(1)所有进出网络的通信流都应该通过防火墙。(2)所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。(3)理论上说,防火墙是穿不透的。2021/7/24计算机网络

3、安全基础8.1防火墙基本概念内部网需要防范的三种攻击有:间谍:试图偷走敏感信息的黑客、入侵者和闯入者。盗窃:盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。破坏系统:通过路由器或主机/服务器蓄意破坏文件系统或阻止授权用户访问内部网(外部网)和服务器。这里,防火墙的作用是保护Web站点和公司的内部网,使之免遭因特网上各种危险的侵犯。2021/7/24计算机网络安全基础8.1防火墙基本概念防火墙在因特网与内部网中的位置从逻辑上讲,防火墙是分离器、限制器和分析器。从物理角度看,各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备,即路由器、主计算机或者是

4、路由器、计算机和配有适当软件的网络的多种组合。2021/7/24计算机网络安全基础8.1防火墙基本概念2.防火墙的基本功能(1)防火墙能够强化安全策略(2)防火墙能有效地记录因特网上的活动(3)防火墙限制暴露用户点(4)防火墙是一个安全策略的检查站3.防火墙的不足之处(1)不能防范恶意的知情者(2)防火墙不能防范不通过它的连接(3)防火墙不能防备全部的威胁(4)防火墙不能防范病毒2021/7/24计算机网络安全基础8.1防火墙基本概念8.1.2数据包过滤防火墙通常是一个具备包过滤功能的简单路由器,支持因特网安全。这是使因特网联接更加安全的一种简单方法,因为包过滤

5、是路由器的固有属性。包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包,经过网上的中间站点,最终传到目的地,然后这些包中的数据又重新组成原来的文件。每个包有两个部分:数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包,读出并拒绝那些不符合标准的包头,过滤掉不应入站的信息。2021/7/24计算机网络安全基础8.1防火墙基本概念每个数据包都包含有特定信息的一组报头,其主要信息是:(1)IP协议类型(TCP、UDP,ICMP等);(2)IP源地址;(3)IP目标地址;(4)IP选择域的内容;(5)

6、TCP或UDP源端口号;(6)TCP或UDP目标端口号;(7)ICMP消息类型。路由器也会得到一些在数据包头部信息种没有得到的关于数据包得其他信息。2021/7/24计算机网络安全基础8.1防火墙基本概念过滤路由器放置在内部网络与因特网之间,作用为:(l)过滤路由器将担负更大的责任,它不但需要执行转发及确定转发的任务,而且它是唯一的保护系统;(2)如果安全保护失败(或在侵袭下失败),内部的网络将被暴露;(3)简单的过滤路由器不能修改任务;(4)过滤路由器能容许或否认服务,但它不能保护在一个服务之内的单独操作。如果一个服务没有提供安全的操作要求,或者这个服务由不安

7、全的服务器提供,数据包过滤路由器则不能保护它。2021/7/24计算机网络安全基础8.1防火墙基本概念8.1.3代理服务代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如文件传输FTP和远程登录Telnet等),并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间。代理

8、在幕后处理所有用户和因特

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。