18.第18章.pptVIP

  1. 1、本文档共23页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
18.第18章

第十八章 防火牆與入侵偵測 第十八章 防火牆與入侵偵測 本章介紹網路安全第一道防線─防火牆─的相關背景知識。防火牆是網路安全重要元件,本章儘量使用非技術性說明防火牆之相關知識,包含防火牆與入侵偵測相關基本概念,其涵蓋內容是資訊、科技、或管理學門皆應具備之知識。本章並包含防火牆管理、入侵偵測系統基本原理等,使讀者增強網路安全基本觀念。 防火牆簡介 防火牆分類 防火牆原理 防火牆設置類型 防火牆管理 入侵偵測系統 18.1 防火牆簡介 防火牆是協助網路安全的一種裝置,其設置可以是單機硬體形式,也可以是軟體形式。防火牆管制與過濾通過網路的封包,以確保系統之安全。透過防火牆以建構可信賴的企業內部網路環境,防火牆通常建置於網際網路與企業網路之間 (如圖 18-1)。 18.1 防火牆簡介 防火牆之建置可以防衛內部電腦,避免被駭客利用作為攻擊跳板,可以拒絕不必要的網路連線,以提升區域網路之安全。 防火牆可以是軟體形式或硬體形式,各有優缺點。軟體式防火牆架設具有彈性,可以架設多樣式平台,擴充亦具有彈性,成本較低。硬體式防火牆成本較高,防護效能好。 防火牆應具備基本功能,包含:網路存取控管與安全稽核等功能。網路控管功能─對網路封包或應用系統,依照防火牆規則,控管其許可、拒絕、或轉送等功能。安全稽核功能─對於網路通訊之發生時間、事件、存取資料等事項加以紀錄。 18.2 防火牆分類 防火牆依照其網路功能,可分為過濾型防火牆與代理型防火牆 (參考圖 18-2)。過濾型防火牆又可分為網路層防火牆與應用層防火牆。網路層防火牆與應用層防火牆這兩種類型之功能可能重疊,但兩種功能並無衝突,有些防火牆同時具備兩種防火牆之功能。 18.2 防火牆分類 網路層防火牆之封包過濾技術,最早被作為防火牆基本技術之一。封包過濾技術,檢查每一個封包的來源 IP、來源埠號或目的 IP ,如果符合信賴標準則予以放行,否則阻擋其進入。應用層防火牆可以檢查與攔截應用程式之封包,可以防範電腦蠕蟲或是木馬程式的蔓延。 代理型防火牆,當內部電腦需要請求外部資源時,外部資料首先傳給代理型防火牆,代理型防火牆可以將資料置入快取區域。將來如有相同請求指令,可以透過代理型防火牆從快取區域,直接傳回給使用者。 18.2 防火牆分類 過濾型防火牆與代理型防火牆各有優缺點,如下表 18-1所示。 18.3 防火牆原理 過濾型網路防火牆原理,至少過濾四項網路封包參數,來源端之 IP 位址、目的端的 IP 位址、來源端之 TCP/UDP 埠、與目的端之 TCP/UDP 埠,並依照防火牆之設定規則,拒絕或接受封包。 網際網路被視為不可信賴的網路,因此當外來資料封包請求存取企業網路(可信賴網路)時,由個人電腦送出的資料封包,其來源端之 IP 位址、目的端的 IP 位址、來源端之 TCP/UDP 埠、與目的端之 TCP/UDP 埠,與資料封裝成資料封包,防火牆可依據原先設定之規則,判斷並拒絕或接受該資料封包 ( 如圖 18-3 ) 。 18.3 防火牆原理 18.3 防火牆原理 應用層防火牆是針對每一個應用系統協定以過濾封包 ( 如圖 18-4 )。應用系統協定有 HTTP、FTP、SMTP 等協定,防火牆分別依據這些協定,設定管理規則。 防火牆可以讓來自於網際網路的某一個來源 IP 使用 HTTP 協定以存取內部某一伺服器,同時也可以拒絕它使用 Telnet 協定存取該伺服器。 18.3 防火牆原理 代理型防火牆一般稱為代理伺服器 ( Proxy Server ),又稱為應用層閘道器。代理伺服器代理資料請求端,對伺服器存取資料,再傳給資料請求端。 如圖 18-5所示,由企業內部網路的個人電腦,存取網際網路的伺服器,例如企業內部員工在企業內部網路,欲存取外部的網頁,透過代理伺服器的作業流程:(1)先將封包送至代理伺服器,(2)代理伺服器將資料傳送至外部伺服器,(3)伺服器傳回資料給代理伺服器,(4)代理伺服器將資料傳給資料請求端。 18.3 防火牆原理 使用Windows 作業系統之瀏覽器 ( Microsoft Internet Explorer ),設定代理伺服器的步驟為: IE - 工具 - 網際網路選項 - 連線 - 區域網路設定。如圖 18-6 所示, 01 即是代理伺服器之位址,代理使用者存取資料。 18.3 防火牆原理 由於企業內部為了隱藏內部網路的位址資訊,以及IPv4 之位址已不敷使用,企業內部都採用網路位址轉譯 ( Network Address Translation ) 技術,以增加網路可用的位址數目。 大部分防火牆皆有建置NAT 功能。如圖 18-7 所示,防火牆具有 NAT 功能,對外的 IP 位址是 10,而內部的真正 IP 位址是從 0 ~0,其對外的 IP 位址皆是

文档评论(0)

teda + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档