返回
网络安全防火墙.ppt

网络安全防火墙.ppt

ID:50869877

大小:1.17 MB

页数:45页

时间:2020-03-15

网络安全防火墙.ppt_第1页
网络安全防火墙.ppt_第2页
网络安全防火墙.ppt_第3页
网络安全防火墙.ppt_第4页
网络安全防火墙.ppt_第5页
资源描述:

《网络安全防火墙.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络安全防火墙技术网络安全的构成物理安全性设备的物理安全:防火、防盗、防破坏等通信网络安全性防止入侵和信息泄露系统安全性计算机系统不被入侵和破坏用户访问安全性通过身份鉴别和访问控制,阻止资源被非法用户访问数据安全性数据的完整、可用数据保密性信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议VPN防火墙存储备份防火墙基本概念什么是防火墙防火墙是位于两个(或多个)网络间,实施网间访问控制的组件集合,通过建立一整套规则和策略来监测、限制、更改跨越防火墙的

2、数据流,达到保护内部网络的目的防火墙的设计目标内部和外部之间的所有网络数据流必须经过防火墙;只有符合安全政策的数据流才能通过防火墙;防火墙自身能抗攻击;防火墙=硬件+软件+控制策略防火墙逻辑位置示意图企业网现状移动用户Internet用户Internet企业网分公司商业伙伴危机四伏常见的威胁粗心大意或不满的员工恶意代码(Malware)病毒、蠕虫、特洛伊木馬、恶作剧程序恶性的竞争对手黑客(Hacker)……需求为什么需要防火墙保护内部网不受来自Internet的攻击创建安全域强化机构安全策略对防火墙的两大需求保障内部网安全保证内部网同外部网的连通防火墙系统四要素安全策略内部网外部网技术手

3、段防火墙的控制能力服务控制确定哪些服务可以被访问;方向控制对于特定的服务,可以确定允许哪个方向能够通过防火墙;用户控制根据用户来控制对服务的访问;行为控制控制一个特定的服务的行为;防火墙能做什么-1隔断挡住未经授权的访问流量;禁止具有脆弱性的服务带来危害;实施保护,以避免各种IP欺骗和路由攻击;过滤过滤掉未经授权的网络流量;代理防火墙能做什么-2审计报警NAT解决IP地址不足的问题保护内部网络地址配置隐藏网络服务的真实地址计费VPN(IPSec)防火墙技术带来的好处强化安全策略有效地记录Internet上的活动隔离不同网络,限制安全问题扩散是一个安全策略的检查站防火墙的不足使用不便,有些

4、人认为防火墙给人虚假的安全感对用户不完全透明,可能带来传输延迟瓶颈及单点失效不能替代墙内的安全措施不能防范恶意的知情者不能防范不通过它的连接,如拨号不能防范全新的威胁不能有效地防范数据驱动式的攻击,如病毒当使用端-端加密时其作用会受到很大的限制关于防火墙的争议防火墙破坏了Internet端到端的特性,阻碍了新的应用的发展防火墙没有解决主要的安全问题,即网络内部的安全问题防火墙给人一种误解,降低了人们对主机安全的意识防火墙的类型防火墙的类型包过滤路由器应用层网关电路层网关包过滤路由器基本的思想在网络层对数据包进行选择对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包判断依据有(只考虑

5、IP包):数据包协议类型:TCP、UDP、ICMP、IGMP等源、目的IP地址源、目的端口:FTP、HTTP、DNS等IP选项:源路由、记录路由等TCP选项:SYN、ACK、FIN、RST等其它协议选项:ICMPECHO、ICMPECHOREPLY等数据包流向:in或out数据包流经网络接口:eth0、eth1包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤防火墙的特点在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点:实现简单对用户透明一个包过滤路由器即可保护整个网络缺点:正确制定规则并不容易不可能引入认证机制包过滤防火墙只通过简单的

6、规则控制数据流的进出,没考虑高层的上下文信息过滤规则举例第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*10.1.1.120<1024TCP针对包过滤防火墙的攻击IP地址欺骗,例如,假冒内部的IP地址对策:在外

7、部接口上禁止内部地址源路由攻击,即由源指定路由从而旁路安全措施对策:禁止这样的选项小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中,以绕过用户定义的过滤规则对策:丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如,利用ftp协议对内部进行探查应用层网关应用层网关在应用层上建立协议过滤和转发功能针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告特点所有的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。