- 1、本文档共89页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络安全10new.ppt
第11章 防火墙技术 一个典型的防火墙使用形态 防火墙示意图 防火墙是什么 在一个受保护的内部网络与互联网间,用来强制执行企业安全策略的一个或一组系统. 防火墙概念(1) 最初含义:当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。 Rich Kosinski(Internet Security公司总裁): 防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,控制进/出两个方向的通信。 防火墙概念(2) 防火墙概念(3) 简单的说,网络安全的第一道防线 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 防火墙的概念(4) 在逻辑上,防火墙是分离器,限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。 在物理上,防火墙通常是一组硬件设备——路由器、主计算机,或者是路由器、计算机和配有软件的网络的组合。 防火墙一般可分为多个部分,某些部分除了执行防火墙功能外还执行其它功能。如:加密和解密——VPN。 防火墙概念(5) 防火墙的实质是一对矛盾(或称机制): 限制数据流通 允许数据流通 两种极端的表现形式: 除了非允许不可的都被禁止,安全但不好用。(限制政策) 除了非禁止不可的都被允许,好用但不安全。(宽松政策) 多数防火墙都在两种之间采取折衷。 Internet防火墙的作用 Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内部网络已经连接到Internet上的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。 Internet防火墙的作用 Internet防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。 Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置,允许Internet访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。 NAT示意图 内容过滤 阻止 Java, ActiveX, JavaScriptVBscript URL 记录和拦截 SMTP 过滤 丢弃假来源地址的信件 可设定传送信件的大小 可消除内部信件传递路径信息,避免内部主机暴露给外界 提供E-mail地址转换功能 病毒? 防火墙的评价 --防火墙不可以防范什么 防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击,例:内部提供拨号服务。 防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。 防火墙的评价 --防火墙不可以防范什么 防火墙的种类 防火墙的存在形式:软件、硬件。 根据防范方式和侧重点的不同可分为四类: 包过滤 应用层代理 电路层代理 状态检查 包过滤防火墙 包过滤防火墙 包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。 包头信息中包括IP源地址、IP目标端地址、内装协(TCP、UDP、ICMP、或IPTunnel)、TCP/UDP目标端口、ICMP消息类型、TCP包头中的ACK位 包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如
您可能关注的文档
最近下载
- 内蒙古版综合实践活动五年级下册第三课 今天我是小交警 课件.ppt
- 道德与法治四年级上册第一单元 与班级共成长 大单元整体学历案教案 教学设计附作业设计(基于新课标教学评一致性).docx
- 公安寄递物流业治安管理.pptx VIP
- 2024年苏科版九年级数学下册第六章《相似图形》课件.ppt VIP
- 故事——小羊过桥.ppt
- 自动售货机plc控制系统设计.doc
- 股先知周线指标公式通达信版(1).docx VIP
- 选择结构程序设计-C语言程序试验报告.pdf
- 以廉洁风险防控为核心的“三不腐”机制应用-来源:现代企业文化(第2020010期)-中国工人出版社.pdf VIP
- 疯狂星期二_13610597.pdf
文档评论(0)