- 1、本文档共26页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
[电子书][电脑][网路][网管][安全]网路 安全 解决 方案-防火墙
網路安全解決方案防火牆 漢康科技 資訊安全產品經理 蕭智仁 steven@.tw 防火牆 防火牆是一座阻止外界入侵的前哨站,入侵者的傷害只能到防火牆為止,在防火牆未被破壞之前,外界都不能侵犯到內部網路 防火牆的類型 Packet Filters Circuit-Level Gateways Application Proxy (Application Gateway) Stateful Multilayer Inspection Dual-Homed Tri-Homed Multi-Homed OSI Stack 防火牆採用的技術,依據OSI Stack的位置而有不同的: 安全性 封包流量效能 Packet Filtering Packet Filtering說明 封包過濾器比較每個封包的部份資料 遇到符合條件的封包 = 允許封包通過 或 阻擋封包通過 決定封包通過/阻擋的條件可以是: IP 位址 封包類型(TCP/UDP) 服務類型(Telnet,FTP,HTTP,SMTP…) 最大的好處是可提供最快的封包流量 對於使用者而言是完全透過的 安全性不足是最大的缺點,因為在內部使用者與外部主機是直接連線的,內部網路設定被暴露在外部網路中 無法查覺到連線過程或應用程式的活動 無法監督連線的狀態 Circuit-Level Gateway Circuit-Level Gateway說明 在OSI通訊堆疊中的資料傳輸層(layer 4)來決定要允許或者拒絕網路流量 適當地識別所指定的通訊埠,這個通訊埠將保持開放直到連線中止 應用程式使用公認的通訊埠(通常與應用或服務有關聯)例如:Telnet-port 23 Circuit-Level Gateway的限制 信認所指定的通訊埠就是其公認的服務或應用 無法監督交談層(session-level)的活動及無法偵測應用程式的動態 Circuit-Level 比 packet filtering 更安全 Circuit-Level 比 packet filtering 封包流量慢 Application Proxy Application Proxy說明 內部使用者無法直接連接到外部主機,Application Gateway扮演外部主機的代傳角色 內部網路的設定被保護隱藏起來,可以更澈底的檢查資料,因此也就是最高階層的防火牆安全 應用或網路服務通過的Application Proxy是經過安全強化的程式 在應用層(application layer)作業直接解譯及回應應用程式不必理會通訊埠或者協定 完整察驗應用層(application-level) 兩個分開的網路界面卡 最差的封包流量效能 最安全的方式 Stateful Multi-Layer Inspection 結合circuit-layer gateway以及有限的application-level查驗 例如:connectionless服務(UDP)通常是 circuit-level gateways無法監督到的 Inspection模組在作業系統核心程式中介於資料連結層(data link)及網路層(network layers)之間 Stateful 比 packet filtering 速度慢 Stateful 比 packet filtering 更安全一點 Stateful Multi-Layer Inspection 內連及外連的封包被攔截並被檢查 在訊息(“raw message”)中的所有被檢查的資訊包含有: 較高層次, 訊息資料(封包的應用內容) IP位址、通訊埠號碼及任何其他用來決定是否可以符合條件定義的封包資訊 有些建構在其上的IP及應用服務的內部結構是stateless的協定 例如: UDP, RPC OSI Stack Firewall 郵差的故事 Dual-Home Firewall 兩片分離的網路卡介面,分別連接內部及外部網路 在兩片網路卡間無法直傳遞IP封包 Tri-Homed Firewall 三片分離的網路卡分別連接內部網路、外部網路及公開伺服器網段 Multi-Homed Firewall 支援多片網路卡界面,分別連向不同網路 可因應組織在不同網段間需要不同安全政策的要求 Security vs Throughput 防火牆的其他技術 NAT(Network Address Translation) MAT(Multiple Address Translation) VPN(Virtual Private Network) Authentication Server NAT(Network Address Translation) 用來隱藏內部網路IP位址,提高內部網路安全性 M
文档评论(0)