返回
防火墙技术ppt课件.ppt

防火墙技术ppt课件.ppt

ID:58649237

大小:1.83 MB

页数:84页

时间:2020-10-05

防火墙技术ppt课件.ppt_第1页
防火墙技术ppt课件.ppt_第2页
防火墙技术ppt课件.ppt_第3页
防火墙技术ppt课件.ppt_第4页
防火墙技术ppt课件.ppt_第5页
资源描述:

《防火墙技术ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第9章防火墙技术9.1防火墙概述9.2防火墙的设计策略和安全策略9.3防火墙的体系结9.4防火墙的主要技术9.1.1防火墙的基本概念防火墙是在两个网络之间执行控制和安全策略的系统,它可以是软件,也可以是硬件,或两者并用。9.1防火墙概述9.1.2防火墙的作用与不足总的来说,防火墙系统应具有以下5个方面的特性。(1)内部网和外部网之间的数据传输都必须经过防火墙。(2)只有被授权的合法数据,即符合安全策略的数据,才可以通过防火墙,其他的数据将被防火墙丢弃。(3)防火墙本身不受各种攻击的影响,否则,防火墙的保护功能将大大

2、降低。(4)采用目前新的信息安全技术,如现代加密技术、一次口令系统、智能卡等增强防火墙的保护功能,为内部网提供更好的保护。(5)人机界面良好。采用防火墙保护内部网有以下优点。(1)防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客和网络破坏者等)进入内部网。(2)保护网络中脆弱的服务。(3)在防火墙上可以很方便地监视网络的安全性,并产生报警。(4)可以集中安全性。(5)防火墙可以作为部署(网络地址转换NetworkAddressTranslator,NAT)的逻辑地址。(6)增强保密性和强化私有权。(

3、7)防火墙是审计和记录Internet使用量的一个最佳地方。(8)防火墙也可以成为向客户发布信息的地点。防火墙有如下的缺陷和不足。(1)限制有用的网络服务。(2)无法防护内部网用户的攻击。(3)防火墙无法防范通过防火墙以外的其他途径的攻击。(4)防火墙也不能完全防止传送已感染病毒的软件或文件。(5)防火墙无法防范数据驱动型的攻击。(6)不能防备新的网络安全问题。图9.1防火墙后门9.2防火墙的设计策略和安全策略9.2.1防火墙的设计策略防火墙一般执行以下两种基本设计策略中的一种。(1)除非明确不允许,否则允许某种服

4、务。(2)除非明确允许,否则将禁止某种服务。9.2.2防火墙的安全策略研制和开发一个有效的防火墙,首先要设计和制定一个有效的安全策略。安全策略应包含以下主要内容:(1)用户账号策略;(2)用户权限策略;(3)信任关系策略;(4)包过虑策略;(5)认证策略;(6)签名策略;(7)数据加密策略;(8)密钥分配策略;(9)审计策略。1.用户账号策略2.用户权限策略3.信任关系策略图9.2单向信任关系图9.3双向信任关系图9.4多重信任关系4.包过虑策略这里主要从以下几个方面来讨论包过滤策略:包过滤控制点;包过滤操作过

5、程;包过滤规则;防止两类不安全设计的措施;对特定协议包的过滤。(1)包过滤控制点(2)包过滤操作过程(3)包过滤规则(4)防止两类不安全设计的措施(5)对特定协议包的过滤5.认证、签名和数据加密策略6.密钥分配策略7.审计策略审计是用来记录如下事件:(1)哪个用户访问哪个对象;(2)用户的访问类型;(3)访问过程是否成功。9.3防火墙的体系结构防火墙按体系结构可以分为包过滤防火墙、屏蔽主机防火墙、屏蔽子网防火墙、多宿主主机防火墙和通过混合组合而衍生的其他结构的防火墙。9.3.1包过滤型防火墙包过滤型防火墙的核

6、心技术就是安全策略设计即包过滤算法的设计。图9.5包过滤型防火墙包过滤型防火墙具有以下优点。(1)处理包的速度比代理服务器快,过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。(2)实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。(3)包过滤路由器对用户和应用来讲是透明的。包过滤型防火墙存在以下的缺点。(1)防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解,才能将过

7、滤规则集尽量定义得完善。(2)只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的IP却不可阻止。(3)任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。(4)一些包过滤网关不支持有效的用户认证。(5)不可能提供有用的日志,或根本就不提供,这使用户发觉网络受攻击的难度加大,也就谈不上根据日志来进行网络的优化、完善以及追查责任。(6)随着过滤器数目的增加,路由器的吞吐量会下降。(7)IP包过滤器无法对网络上流动的信息提供全面的控制。(8)允许外部网络直接连接到内部

8、网络的主机上,易造成敏感数据的泄漏。包过滤路由器常见的攻击有以下几种。(1)源IP地址欺骗式攻击。(2)源路由攻击。(3)极小数据段式攻击。9.3.2多宿主主机(多宿主网关)防火墙多宿主主机拥有多个网络接口,每一个接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同的子网,不同子网之间的相互访问实施不同的访问控制策略。图9.6双宿主机

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。