返回
防火墙与入侵检测(三)主流防火墙的部署与实现ppt课件.ppt

防火墙与入侵检测(三)主流防火墙的部署与实现ppt课件.ppt

ID:58990752

大小:579.00 KB

页数:38页

时间:2020-09-27

防火墙与入侵检测(三)主流防火墙的部署与实现ppt课件.ppt_第1页
防火墙与入侵检测(三)主流防火墙的部署与实现ppt课件.ppt_第2页
防火墙与入侵检测(三)主流防火墙的部署与实现ppt课件.ppt_第3页
防火墙与入侵检测(三)主流防火墙的部署与实现ppt课件.ppt_第4页
防火墙与入侵检测(三)主流防火墙的部署与实现ppt课件.ppt_第5页
资源描述:

《防火墙与入侵检测(三)主流防火墙的部署与实现ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第三章主流防火墙的部署与实现防火墙的部署与实现在具体的实现过程中,防火墙往往不只是一台单一的设备或者装到某一台主机上的软件系统,而是多台(套)设备或软件的组合。不同的组合方式体现了系统不同的安全要求,也决定了系统将采取不同的安全策略和实施办法。防火墙的部署和实现结构可以说是组织或机构安全的实现基础,对于系统的整体安全来说具有重要的意义。防火墙的部署与实现过滤路由器堡垒主机多重宿主主机屏蔽主机屏蔽子网其他结构过滤路由器定义:放在内部网络和外部网络之间,具有数据过滤功能的路由器。功能:按照预定义的过滤规则,允许授权数据通过,拒绝非授权数

2、据通过。与普通路由器的区别:普通路由器是重要的网络数据传输和转发设备。通常具有若干个接口,每个接口都有独立的IP地址。过滤路由器也起到和普通路由器一样的数据转发作用,但一般来说,过滤路由器只有两种接口,甚至只有两个接口。不但要根据目的地址决定转发的接口,还要根据过滤规则决定是否允许转发该数据包。优点:快速、透明、实现容易。过滤路由器可以高速的转发数据包,使得防火墙不会成为系统访问的性能瓶颈,这是其他类型防火墙很难赶超的优势。用户只需要付出很小的代价甚至不需要任何代价即可获得相当安全的服务,这比单独购买独立的防火墙产品具有更大的成本优

3、势。用户不需要改变客户端的程序或者改变自己的行为模式,也不必对用户进行特殊的培训或者再每台主机上安装特定的软件。用户感觉不到防火墙对用户数据包的检查。用户只需要购买相应的防火墙模块,插入路由器机箱的扩展槽即可完成部署。过滤路由器缺点:配置复杂,维护困难;过滤规则应该包括对所有可能的节点、所有可用的服务的限制条件。但是在实际使用过程中这是不可能做到的——任何管理员都无法精确的预先确定内联网络用户的行为。因此,只能在开始使用防火墙的时候制定基础的和已经明确的过滤规则,在后续的使用过程中根据需要逐步添加。只针对数据包本身进行检测,只能检测

4、出部分攻击行为;主要工作在网络层,这决定了它的主要过滤功能是针对传输层一下的信息单元头部各个字段的。无法防范数据驱动式攻击;只能简单地判断IP地址,而无法进行用户级的身份认证和鉴别;随着过滤规则的增加,路由器的吞吐量将会下降;无法对数据流进行全面地控制,不能理解特定服务的上下文环境和数据。过滤路由器过滤规则过滤规则的主要字段:源地址发送者的IP地址;源端口号发送者的端口号;目的地址接收者的IP地址;目的端口号接收者的端口号;协议标志数据使用协议;过滤方式过滤路由器对符合上述字段的数据包采取的动作,要么是“允许”,即允许数据包通过过滤

5、路由器转发;要么是“拒绝”,即拒绝数据包通过过滤路由器转发。过滤路由器过滤路由器的过滤规则一般遵循“拒绝访问一切未经特许的服务”,即默认状态下,一切网络访问都是被禁止的,允许访问的规则只能后续逐步的添加到系统中。在执行过程中则遵循“第一条匹配规则适用”的原则,即对每个数据包,过滤路由器都将从第一条规则开始顺序的检索,直到找到第一条匹配规则为止。过滤路由器序号源地址源端口号目的地址目的端口号协议动作1*.*.*.**11.22.12.123**Deny2*.*.*.**192.168.0.680TCPPermit防火墙过滤规则过滤路由

6、器过滤规则具有顺序敏感的特性,即不同顺序的规则执行的结果是不同的,这就带来了规则的冲突问题。规则冲突:两个或两个以上的规则匹配同一个数据包、或者一个规则永远都无法匹配任何通过该过滤路由器的包。包括无用冲突符合某一条过滤规则中指定的源和目的网络的数据包根本不会通过该过滤路由器屏蔽冲突当排在过滤规则表后面的一条过滤规则能匹配的所有数据包也被排在过滤规则表前面的一条过滤规则匹配的时候,后面的这条过滤规则永远无法得到执行,原因是两个规则之间存在包含关系,解决方法是将子集规则排在过滤规则表的前面过滤路由器泛化冲突一个排序在前的过滤规则能匹配的

7、所有数据包也能被一个排序在后的过滤规则匹配关联冲突如果动作不同的过滤规则之间存在交叉的部分,即存在关联关系,那么允许集和拒绝集之间就会有重叠冗余冲突一条过滤规则能匹配的数据包也能匹配另一条过滤规则,并且两条过滤规则采取的动作是相同的堡垒主机定义:堡垒主机由一台计算机担当,并拥有两块或者多块网卡分别连接各内部网络和外部网络。作用:隔离内部网络和外部网络,为内部网络设立一个检查点,对所有进出内部网络的数据包进行过滤,集中解决内部网络的安全问题。堡垒主机设计原则:最小服务原则在堡垒主机上运行并提供网络服务的各种软件不可能没有缺陷,而这些缺

8、陷就是入侵者侵入堡垒主机的通道,因此,必须采用最小服务原则,尽可能地减少堡垒主机提供的服务,而且对于必须设置的服务,只能授予尽可能低的权限,才能保证堡垒主机的安全性。预防原则用户必须加强与堡垒主机的联系,对堡垒主机的安全情况进行持续不

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。