欢迎来到天天文库
浏览记录
ID:56960443
大小:6.60 MB
页数:92页
时间:2020-07-22
《网络安全设备应用与实践课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、网络安全设备应用与实践穆显亮2012/9/12课程内容2知识子域:防火墙技术理解防火墙的作用理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点掌握防火墙选择和使用中的基本注意事项3防火墙技术什么是防火墙?为什么需要防火墙?防火墙的功能防火墙的典型部署防火墙的分类防火墙的工作模式防火墙的相关技术防火墙的弱点和局限性选择防火墙需考虑的要素防火墙使用中的注意事项4防火墙技术--什么是防火墙?在网络间(内部/外部网络、不同信息级别)提供安全连接的设备;用于实现和执行网络之间通信的安全策略Internet公司网站防火墙5防火墙技术—为什么需要防火墙?阻止来自不可信网络
2、的攻击保护关键数据的完整性维护客户对企业或机构的信任6防火墙技术--防火墙的功能控制进出网络的信息流向和数据包,过滤不安全的服务;隐藏内部IP地址及网络结构的细节;提供使用和流量的日志和审计功能;部署NAT(NetworkAddressTranslation,网络地址转换);逻辑隔离内部网段,对外提供WEB和FTP;实现集中的安全管理;提供VPN功能。7这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域,企业内部网络,外部网络和服务器专网(DMZ区)。可信网络不可信的网络&服务防火墙路由器InternetIntranetDMZ公开可访问的服务&
3、网络防火墙技术:防火墙的典型部署8防火墙技术--防火墙的分类防火墙从实现方式上来分,可分为硬件防火墙和软件防火墙两类。硬件防火墙通常部署在内、外部网络之间,通过软、硬件结合的方式来达到隔离内、外部网络的目的;软件防火墙可以在一个独立的机器上运行,通过一定的规则来达到限制非法用户访问的目的。从技术的发展阶段来分看,防火墙可分为包过滤、应用代理和状态检测等几大类型。包过滤状态检测应用代理防火墙的发展阶段9防火墙技术--防火墙的相关技术包过滤技术应用代理技术状态检测技术10防火墙的相关技术--包过滤(Packetfilter)在网络层检查数据包简单的拒绝或接受策略模型无
4、法识别更高层协议网络层应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层11防火墙的相关技术--包过滤(Packetfilter)包过滤防火墙具有以下特点:优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析,规则简单,处理速度较快易于配置对用户透明-用户访问时不需要提供额外的密码或使用特殊的命令缺点:检查和过滤器只在网络层-不能识别应用层协议或维持连接状态安全性薄弱–不能防止IP欺骗等静态策略可能成为漏洞12防火墙的相关技术—应用网关或代理(ApplicationGa
5、tewayorProxy)在应用层检查数据包能够对应用或内容进行过滤–例如:禁止FTP的“put”命令防火墙的相关技术—应用网关或代理(ApplicationGatewayorProxy)应用代理或网关防火墙具有以下特点:优点:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强提供良好的安全性-所有数据的有效负载都在应用层进行检查缺点:支持的应用数量有限,无法很好的支持新的应用、技术和协议对用户不透明度性能表现欠佳14防火墙的相关技术--状态检测(StatefulInspection)内置tcp/ip协议状态机,创建状态表用于维护连接上下文,检
6、查每个会话连接的合法性(是否符合tcp/ip通信原理和特征)。能够识别和监听常用动态端口应用的协商过程,从而自动为动态应用建立通过防火墙的安全连接。防火墙的相关技术--状态检测(StatefulInspection)状态检测防火墙具有以下特点:性能大大提高支持大量应用在内核级实现检测过滤在所有接口对进/出的数据包进行状态检查支持应用层协议检查在动态状态表中存储连接状态检查对外的连接并预先计算出将返回的连接16防火墙技术--防火墙的工作模式路由模式透明模式混合模式17防火墙技术--防火墙的工作模式路由模式内部网络192.168.1.0/24GW:192.168.1.
7、254外部网络202.101.10.0/24GW:202.101.10.1防火墙路由器InternetIntranet202.101.10.1/24192.168.1.254/2418防火墙技术--防火墙的工作模式透明模式内部网络192.168.1.0/24GW:192.168.1.254外部网络路由器InternetIntranet192.168.1.254/2419防火墙技术--防火墙的工作模式混合模式工作于透明模式的防火墙可以实现透明接入,工作于路由模式的防火墙可以实现不同网段的连接。但路由模式的优点和透明模式的优点是不能同时并存的。所以,大多数的防火墙一般
8、同时保留了
此文档下载收益归作者所有