欢迎来到天天文库
浏览记录
ID:57034529
大小:276.00 KB
页数:36页
时间:2020-07-27
《计算机网络安全课件--防火墙技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第三篇网络安全技术第3章 防火墙技术本章学习目标防火墙的定义、发展简史、目的、功能、局限性包过滤防火墙和代理防火墙的实现原理、技术特点以及实现方式防火墙的常见体系结构分布式防火墙的体系结构、特点3.1防火墙技术概述防火墙(Firewall)是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与Internet网络之间,或者与其他网络之间进行的信息存取、传递操作,可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。在
2、逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是提供信息安全服务,实现网络和信息安全的基础设施。3.1.1防火墙的定义《辞海》上说“防火墙:用非燃烧材料砌筑的墙。设在建筑物的两端或在建筑物内将建筑物分割成区段,以防止火灾蔓延。”简单的说,防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统
3、一的安全策略,限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。3.1.2防火墙的发展简史第一代防火墙:几乎与路由器同时出现,采用了包过滤(PacketFilter)技术。第二、三代防火墙:1989年,贝尔实验室的Dave.Presotto和Howard.Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。第四代防火墙:1992年,USC信息科学院的Bob.
4、Braden开发出了基于动态包过滤(DynamicPacketFilter)技术的第四代防火墙,后来演变为目前所说的状态监视(StateFulinspection)技术。1994年,以色列的Check.Point公司开发出了第一个基于这种技术的商业化的产品。第五代防火墙:1998年,NAI公司推出了一种自适应代理(AdaptiveProxy)技术,并在其产品GauntletFirewallforNT中得以实现。3.1.3设置防火墙的目的和功能通常应用防火墙的目的有以下几个方面:限制他人进入内部网络
5、;过滤掉不安全的服务和非法用户;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视局域网安全提供方便。无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。防火墙的主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。3.1.4防火墙的局限性
6、防火墙防外不防内网络应用受到结构性限制传统防火墙不能在有在两个内部网络之间通信需求的VPN网络中使用,否则VPN通信将被中断。虽然目前有一种SSLVPN技术可以绕过企业边界的防火墙进入内部网络VPN通信,但是应用更广泛的传统IPSecVPN通信中还是不能使用,除非是专门的VPN防火墙。防火墙难于管理和配置,易造成安全漏洞效率较低、故障率高很难为用户在防火墙内外提供一致的安全策略防火墙只实现了粗粒度的访问控制3.1.5防火墙技术发展动态和趋势优良的性能可扩展的结构和功能简化的安装与管理主动过滤防病毒
7、与防黑客未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全等五个方面。此外,防火墙产品还将把网络前沿技术,如Web页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。3.2防火墙技术3.2.1防火墙的技术分类包过滤防火墙:数据包过滤(PacketFiltering)技术是防火墙为系统提供安全保障的主要技术,它通过设备对进出网络的数据流进行有选择地控制与操作。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤(通常是对从Internet进入到内
8、部网络的包进行过滤)。选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)或规则表。规则表指定允许哪些类型的数据包可以流入或流出内部网络,例如:只接收来自某些指定的IP地址的数据包或者内部网络的数据包可以流向某些指定的端口等;哪些类型的数据包的传输应该被拦截。防火墙的IP包过滤规则以IP包信息为基础,对IP包源地址、目标地址、传输方向、分包、IP包封装协议(TCP/UDP/ICMP/IPTunnel)、TCP/UDP目标端口号等进行筛选、过滤。
此文档下载收益归作者所有