返回
计算机网络之防火墙全解课件.ppt

计算机网络之防火墙全解课件.ppt

ID:58462452

大小:2.91 MB

页数:116页

时间:2020-09-07

计算机网络之防火墙全解课件.ppt_第1页
计算机网络之防火墙全解课件.ppt_第2页
计算机网络之防火墙全解课件.ppt_第3页
计算机网络之防火墙全解课件.ppt_第4页
计算机网络之防火墙全解课件.ppt_第5页
资源描述:

《计算机网络之防火墙全解课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、防火墙技术计算机网络安全内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理安全层次安全的密码算法安全协议网络安全系统安全应用安全防火墙(Firewall)防火墙的基本设计目标对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙防火墙的基本目标是通过隔离达到访问控制的目的通过一些安全策略,来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙(Firewall)防火墙的定义是一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯

2、一通道,能根据有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙(Firewall)防火墙的控制能力服务控制,确定哪些服务可以被访问方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制,根据用户来控制对服务的访问行为控制,控制一个特定的服务的行为防火墙能做什么定义一个必经之点挡住未经授权的访问流量禁止具有脆弱性的服务带来危害实施保护,以避免各种IP欺骗和路由攻击防火墙能做什么防火墙提供了一个监视各种安全事件的位置,所以,可以在防火墙上实现审计和报警对于有些Internet功能来说,防火墙也可以是一个理想的平台,比如地址转换,Inter

3、net日志、审计,甚至计费功能防火墙可以作为IPSec的实现平台防火墙本身的局限性对于绕过防火墙的攻击,它无能为力,例如,在防火墙内部通过拨号出去防火墙不能防止内部的攻击,以及内部人员与外部人员的联合攻击(比如,通过tunnel进入)防火墙不能防止被病毒感染的程序或者文件、邮件等防火墙的性能要求串口:可对防火墙进行初始化的配置内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理防火墙的发展历程基于路由器的防火墙利用路由器本身对分组的解析,进行分组过滤过滤判断依据:地址、端口号以及其他网络特征防火墙与路由器合为一体,只

4、有过滤功能适用于对安全要求不高的网络环境防火墙工具组件将过滤功能从路由器中独立出来,并加上审计和告警功能针对用户需求,提供模块化的软件包软件可以通过网络发送,用户可根据需要构造防火墙与第一代相比,安全性提高了,价格降低了防火墙的发展历程基于通用操作系统的防火墙是批量上市的专用防火墙。包括分组过滤或者借用路由器的分组过滤功能。装有专用的代理系统,监控所有协议的数据和指令。保护用户编程空间和用户可配置内核参数的设置。安全性和速度大为提高基于安全操作系统的防火墙防火墙厂商具有操作系统的源代码,并可实现安全内核。去掉不必要的系统特性,加固内核,强化安全保护。在功能上包括了分组过

5、滤、应用网关、电路级网关。增加了许多附加功能:加密、鉴别、审计、NAT转换。透明性好,易于使用。内容提要防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理防火墙的类型简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙核检测防火墙简单包过滤防火墙包过滤防火墙是第一代和最基本形式的防火墙,防火墙检查每一个通过的数据包,并查看数据包的包头,然后依据一套规则决定或者丢弃,或者放行该数据包。这称为包过滤防火墙。包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,

6、将这些信息与设立的规则相比较。简单包过滤防火墙包过滤器操作的基本过程包过滤规则必须被包过滤设备端口存储起来。当包到达端口时,对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。若一条规则阻止包传输或接收,则此包便不被允许。若一条规则允许包传输或接收,则此包便可以被继续处理。若包不满足任何一条规则,则此包便被阻塞。简单包过滤防火墙不检查数据区。不建立连接状态表。前后报文无关。应用层控制很弱。效率高。包过滤路由器基本的思想很简单对于每个进来的包,适用一组规则,然后决定

7、转发或者丢弃该包往往配置成双向的包过滤路由器如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则,则根据此规则决定转发或者丢弃如果所有规则都不匹配,则根据缺省策略安全缺省策略两种基本策略,或缺省策略没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击,制定新的规则没有被允许的流量都要拒绝比较保守根据需要,逐渐开放包过滤防火墙在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。