返回
第14章--网络硬件防火墙.ppt

第14章--网络硬件防火墙.ppt

ID:61835171

大小:1.84 MB

页数:55页

时间:2021-03-23

第14章--网络硬件防火墙.ppt_第1页
第14章--网络硬件防火墙.ppt_第2页
第14章--网络硬件防火墙.ppt_第3页
第14章--网络硬件防火墙.ppt_第4页
第14章--网络硬件防火墙.ppt_第5页
资源描述:

《第14章--网络硬件防火墙.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第14章网络硬件防火墙14.1防火墙的定义14.2防火墙的功能14.3防火墙的分类14.4硬件防火墙的内部结构14.5防火墙的配置14.1防火墙的定义防火墙的英文名为“Firewall”,它是目前最重要的一种网络防护设备,是处于不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙其实是一个分离器,一个限制器,同时也是一个分析器,它有效地监控了内部网间

2、或Internet之间的任何活动,保证了内部网络的安全。防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测,也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了的软件,只是它不占用计算机CPU的处理时间,但价位非常高,对于个人用户来说软件型更加方便实在。防火墙在网络中的逻辑位置示意图如图14-1所示。图14-1防火墙在网络中的逻辑位置根据防火墙的定义和在网络中的作用,我们可以看出防火墙具有以下三个方面的基本特性:(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙。(2)只有符合安全策略的数据流才能通过防火墙。(3)防火墙自身应具有非常强的抗攻击免疫力

3、。14.2防火墙的功能防火墙在整个网络中的功能主要有以下几点。(1)防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务来降低风险。(2)防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有的安全软件(如口令、加密、身份认证、审计等)配置在防火墙上,与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理将更加经济。(3)对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。(4)防止内部信息的外泄。通过利用防火墙对内

4、部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。14.3防火墙的分类14.3.1从防火墙的软、硬件形式分最初的防火墙与我们平时所看到的集线器、交换机一样,都属于硬件产品。如图14-2所示就是3Com公司的一款3ComSuperStack3防火墙,它在外观上与平常我们所见到的集线器和交换机类似,只是接口少而已,分别用于连接内、外部网络,这正是由防火墙的基本作用决定的。图14-2硬件防火墙随着防火墙应用的逐步普及和计算机软件技术的发展,为了满足不同层次用户对防火墙技术的需求,许多网络安全软件厂商开发出了很多基于纯软件的防火墙,俗称“个

5、人防火墙”,之所以说它是“个人防火墙”,那是因为它安装在主机中,只对一台主机进行防护,而不是对整个网络,如“天网”就是大家熟悉的一款典型的个人防火墙软件。14.3.2从防火墙的技术分防火墙技术虽然有许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。1.包过滤(PacketFiltering)型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包报头源地址、目的地址、端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才

6、被转发到相应的目的地,其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段,之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它从很大程度上满足了绝大多数企业的安全要求。在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,分别为“第一代静态包过滤”和“第二代动态包过滤”。(1)第一代静态包过滤类型防火墙。这类防火墙几乎是与路由器同时产生的,它是根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配

7、。(2)第二代动态包过滤类型防火墙。这种防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。2.应用代理(ApplicationProxy)型应用代理型防火墙工作在OSI的最高层,即应用层,其特点是完全“阻隔”了网络的通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,其典型网络结构如图14-3所示。在代理型防火墙技术的发展过程中,也经历了两个不同的版本,即第一代应用网关型代理防火墙和第二代自适应代理型防火墙。图14-3应用代

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。