欢迎来到天天文库
浏览记录
ID:5395121
大小:571.50 KB
页数:60页
时间:2017-11-09
《包过滤防火墙和灵巧网关设置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、包过滤防火墙和灵巧网关设置张焕杰安徽中科大讯飞信息科技有限公司james@ustc.edu.cnhttp://202.38.64.2/~james/Tel:3601897(O)1主要内容防火墙技术包过滤防火墙灵巧网关设置参考资料:计算机网络安全基础,袁津生等,人民邮电出版社2网络隔离与防火墙技术根据安全等级不同将网络划分不同的部分各个部分之间采用物理、逻辑隔离或受限访问方式互连物理隔离网络间禁止有物理通信线路连接逻辑隔离协议转换受限访问防火墙3防火墙技术Firewall来源于建筑业,用墙来分隔建筑物的各个部分,并具有防火功能。万一某一部分或单元失火时,火灾被限制在一个局
2、部范围内,其它部分不会受到损害。4防火墙技术主要介绍:1.防火墙基本概念2.防火墙的分类3.包过滤4.代理服务5防火墙基本概念防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。6防火墙基本概念由软件和硬件组成的防火墙应该具有以下功能:所有进出网络的通信流都应该通过防火墙。所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。理论上说,防火墙是穿
3、不透的。被策略禁止的通信不能通过被防火墙。7防火墙基本概念防火墙在因特网与内部网中的位置从逻辑上讲,防火墙是一个控制器,控制内外网之间的通信。从物理角度看,防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备,即路由器、计算机或者是路由器、计算机和配有适当软件的网络的多种组合。8防火墙基本概念防火墙的基本功能防火墙能够强化安全策略防火墙能有效地记录因特网上的活动防火墙限制暴露用户点防火墙是一个安全策略的检查站防火墙的不足之处不能防范恶意的知情者防火墙不能防范不通过它的连接防火墙不能防备全部的威胁防火墙不能防范病毒9防火墙分类包过滤型根据数据包的源地址、目的地址、协议、
4、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过。外在表现:路由型、透明网桥型、混合型优点:性能高,对应用透明,使用方便缺点:安全控制粒度不够细10防火墙分类应用层代理对不同的应用进行相关的特殊处理,一般具有身份认证、访问控制、日志等功能。不同的应用需要不同的代理:HTTP、FTP、TELNET、SMTP、POP3优点:安全控制粒度细,可以实现基于用户的控制缺点:每种应用要设置,对用户不透明,不是所有应用都支持代理使用复杂性能低11防火墙分类代理的实现过程12防火墙分类链路级代理类似于应用层代理,区别是不针对专门应用协议,而是针对TCP、UDP连接进行中继服务
5、,一般具有身份认证、访问控制、日志等功能,最典型的是socks代理。优点:安全控制粒度适中,可以实现基于用户的控制在Windows环境下,通过截获winsock调用,基本上可以做到对应用透明,使用方便缺点:性能低13包过滤防火墙包过滤型防火墙是应用最普遍的防火墙。包是网络上信息流动的单位。包过滤型防火墙对经过它的数据包进行处理,仅仅允许安全策略允许的数据包通过。其他的数据包全部丢弃。在处理过程中可以进行日志记录。包过滤一直是一种简单而有效的方法。通过拦截安全策略不允许的数据包,保护内部网络的安全。14防火墙产品基于通用平台的软件系统软件型基于专用平台的集成产品ASIC芯
6、片实现包处理通用CPU实现包处理15基于通用平台的软件产品基于通用的硬件、软件平台如基于WindowsNT系统、Solaris系统价格相对较低功能丰富强调认证的较多安全性依赖于底层的操作系统在国内商用的不多Check-Point16专用ASIC芯片实现的典型产品为Netscreen公司产品利用ASIC芯片实现包过滤、地址转换、加密处理可以得到极高的性能Netscreen540012Gbps3DES加密到6Gbps17大部分的防火墙基于IA架构CPU:PIIPIII专用的软件CiscoPIX,专门开发的操作系统在Linux或FreeBSD的基础上加固得到的操作系统减少不必
7、要的模块增强一些安全性国内的产品90%多属于这类18包过滤防火墙包过滤防火墙一般放置在不同安全等级的网络之间19包过滤防火墙每个数据包有两个部分:数据部分和包头。每个数据包都包含有特定信息的一组报头,其主要信息是:IP协议类型(TCP、UDP,ICMP等)IP源地址IP目标地址IP选择域的内容TCP或UDP源端口号TCP或UDP目标端口号ICMP消息类型包过滤器主要根据以上信息决定一个数据是否符合安全策略要求20包过滤防火墙包过滤系统只能让我们进行类似以下情况的操作:外部用户仅仅能访问服务器上的www服务允许任何用户使用SMTP往内部网发
此文档下载收益归作者所有