防火墙技术概论.pptVIP

  • 12
  • 0
  • 约6.86千字
  • 约 100页
  • 2016-07-22 发布于湖北
  • 举报
防火墙技术概论

第9章 防火墙技术;9.1 防火墙概述 9.2 防火墙的设计策略和安全策略 9.3 防火墙的体系结构 9.4 防火墙的主要技术; ;9.1.1 防火墙的基本概念;9.1.2 防火墙的作用与不足 总的来说,防火墙系统应具有以下5个方面的特性。 (1)内部网和外部网之间的数据传输都必须经过防火墙。 (2)只有被授权的合法数据,即符合安全策略的数据,才可以通过防火墙,其他的数据将被防火墙丢弃。;(3)防火墙本身不受各种攻击的影响,否则,防火墙的保护功能将大大降低。 (4)采用目前新的信息安全技术,如现代加密技术、一次口令系统、智能卡等增强防火墙的保护功能,为内部网提供更好的保护。 (5)人机界面良好。;采用防火墙保护内部网有以下优点。 (1)防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客和网络破坏者等)进入内部网。 (2)保护网络中脆弱的服务。 (3)在防火墙上可以很方便地监视网络的安全性,并产生报警。 (4)可以集中安全性。 (5)防火墙可以作为部署(网络地址转换Network Address Translator,NAT)的逻辑地址。 (6)增强保密性和强化私有权。 (7)防火墙是审计和记录Internet使用量的一个最佳地方。 (8)防火墙也可以成为向客户发布信息的地点。;防火墙有如下的缺陷和不足。 (1)限制有用的网络服务。 (2)无法防护内部网用户的攻击。 (3)防火墙无法防范通过防火墙以外的其他途径的攻击。 (4)防火墙也不能完全防止传送已感染病毒的软件或文件。 (5)防火墙无法防范数据驱动型的攻击。 (6)不能防备新的网络安全问题。;图9.1 防火墙后门;防火墙的分类;从形态角度分类;从保护对象角度分类;9.2 防火墙的设计策略和安全策略;9.2.2 防火墙的安全策略 研制和开发一个有效的防火墙,首先要设计和制定一个有效的安全策略。安全策略应包含以下主要内容: (1)用户账号策略; (2)用户权限策略; (3)信任关系策略; (4)包过虑策略; (5)认证策略; (6)签名策略; (7)数据加密策略; (8)密钥分配策略; (9)审计策略。;1.用户账号策略 2.用户权限策略 3.信任关系策略;图9.4 多重信任关系;4.包过虑策略 这里主要从以下几个方面来讨论包过滤策略: ? 包过滤控制点; ? 包过滤操作过程; ? 包过滤规则; ? 防止两类不安全设计的措施; ? 对特定协议包的过滤。;5.认证、签名和数据加密策略 6.密钥分配策略 7.审计策略 审计是用来记录如下事件: (1)哪个用户访问哪个对象; (2)用户的访问类型; (3)访问过程是否成功。;9.3 防火墙的体系结构;图9.5 包过滤型防火墙 ;包过滤型防火墙具有以下优点。 (1)处理包的速度比代理服务器快,过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。 (2)实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。 (3)包过滤路由器对用户和应用来讲是透明的。;包过滤型防火墙存在以下的缺点。 (1)防火墙的维护比较困难,定义数据包过滤器会比较复杂,因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解,才能将过滤规则集尽量定义得完善。 (2)只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的IP却不可阻止。 (3)任何直接经过路由器的数据包都有被用做数据驱动攻击的潜在危险。 ;(4)一些包过滤网关不支持有效的用户认证。 (5)不可能提供有用的日志,或根本就不提供,这使用户发觉网络受攻击的难度加大,也就谈不上根据日志来进行网络的优化、完善以及追查责任。 (6)随着过滤器数目的增加,路由器的吞吐量会下降。 (7)IP包过滤器无法对网络上流动的信息提供全面的控制。 (8)允许外部网络直接连接到内部网络的主机上,易造成敏感数据的泄漏。;包过滤路由器常见的攻击有以下几种。 (1)源IP地址欺骗式攻击。 (2)源路由攻击。 (3)极小数据段式攻击。 ;9.3.2 多宿主主机(多宿主网关)防火墙 多宿主主机拥有多个网络接口,每一个接口都连在物理上和逻辑上都分离的不同的网段上。每个不同的网络接口分别连接不同的子网,不同子网之间的相互访问实施不同的访问控制策略。 ;图9.6 双宿主机防火墙; 双宿主主机防火墙采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙,双宿主主机可以在内部网络和外部网络之间进行寻径。 双宿主主机防火墙的最大特点是IP层的通信被阻止,两个网络之间的通

文档评论(0)

1亿VIP精品文档

相关文档