防火墙基础知识.pptVIP

  1. 1、本文档共33页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
防火墙技术 防火墙的概念 防火墙是指隔离在本地网络与外界网络系统之间的防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风 险区域的访问。 防火墙的概念 防火墙相关术语 防火墙的基本功能 防火墙系统可以决定外界可以访问那些内部服务,以及内部人员可以访问哪些外部服务. 防火墙有以下的功能:   1.允许网络管理员定义一个中心点来防止非法用户进入内部网络。     2.可以很方便地监视网络的安全性,并报警。    防火墙的基本功能 3.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。 4.是审计和记录Internet使用费用的一个最佳地点。 5.可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。 防火墙的优点 强化安全策略 有效地记录Internet上的活动 限制暴露用户点(隔离不同网络,限制安全问题扩散) 是一个安全策略的检查站 产生安全报警 防火墙的不足 防火墙并非万能,防火墙的缺点: 源于内部的攻击 不能防范恶意的知情者和不经心的用户 不能防范不通过防火墙的连接 不能直接抵御恶意程序(由于病毒的种类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。) 防火墙的主要技术 包过滤技术 包过滤防火墙工作示意图 设置实例 包过滤优缺点 包过滤优缺点 缺点: 配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有深入的了解,否则容易出现因配置不当带来的问题; 过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不能得到充分满足; 由于数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗; 允许外部客户和内部主机的直接连接; 不提供用户的鉴别机制。 代理服务技术 Application-level Gateway 代理服务技术 应用级网关防火墙工作示意图 应用级网关防火墙的特点 一个Telnet应用代理的过程 状态检测包过滤技术 防火墙的设计 防火墙的分类 从使用技术上分 包过滤技术 代理服务技术 状态检测技术 从实现形式分 软件防火墙 硬件防火墙 芯片级防火墙 防火墙的分类 从部署位置分 个人防火墙 网络防火墙 混合防火墙 防火墙技术的实现 Windows 防火墙的应用 拦截ping包 模拟器上访问控制列表的介绍 对防火墙产品发展的介绍 防火墙发展历程 第一阶段:基于路由器的防火墙 第二阶段:用户化的防火墙工具套 第三阶段:建立在通用操作系统上的防火墙 第四阶段:具有安全操作系统的防火墙 第一阶段:基于路由器的防火墙 第一代防火墙产品的特点是: 利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤; 过滤判决的依据可以是:地址、端口号、IP旗标及其它 网络特征; 只有分组过滤的功能,且防火墙与路由器是一体的,对 安全要求低的网络可采用路由器附带防火墙功能的方法, 对安全性要求高的网络则可单独利用一台路由器作防火墙。 第一阶段:基于路由器的防火墙 第一代防火墙产品的不足之处为: 路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。 路由器上的分组过滤规则的设置和配置存在安全隐患。 攻击者可以“假冒”地址,由于信息在网络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火墙。 防火墙的规则设置会大大降低路由器的性能。 第二阶段:用户化的防火墙工具套 作为第二代防火墙产品,用户化的防火墙工 具套具有以下特征: 将过滤功能从路由器中独立出来,并加上审计和告警功能; 针对用户需求,提供模块化的软件包; 软件可通过网络发送,用户可根据需要构造防火墙; 与第一代防火墙相比,安全性提高了,价格降低了。 第二阶段:用户化的防火墙工具套(cont.) 不足之处: 配置和维护过程复杂、费时; 对用户的技术要求高; 全软件实现,安全性和处理速度均有局限; 实践表明,使用中出现差错的情况很多。 第三阶段:建立在通用操作系统上的防火墙 具有以下特点: 是批量上市的专用防火墙产品; 包括分组过滤或者借用路由器的分组过滤功能; 装有专用的代理系统,监控所有协议的数据和指令;

文档评论(0)

celkhn5460 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档