- 1、本文档共72页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
课程四:防火墙技术讲述
防火墙的局限性 防火墙工作在三,四层,无法对上层应用程序数据流进行检测。 -病毒,木马等可以利用防火墙上开放的合法端口穿透防火墙。 -无法抵御利用上层应用程序漏洞进行的攻击。 -不能抵御数据驱动性的攻击,例如SQL注入。 防火墙不能解决网络内部的攻击,以及病毒,木马等的传播。 防火墙不能抵御因为配置不当而产生的威胁。 防火墙的局限性 防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码 IDS由于旁路部署,无法阻断攻击,亡羊补牢,侧重安全状态监控 入侵保护系统IPS 入侵检测系统IDS IDS IPS IPS在线部署,主动防御,实时阻断攻击 本章主要知识要点小结 简答 防火墙的主要作用是什么? 防火墙的发展历史和各种不同类型防火墙之间的差异? 主流防火墙包含那些功能? 防火墙关键性能指标有那些? 防火墙的局限性是什么? 谢谢! * 随后随着技术的发展,防火墙的技术也在不断发展,到今天,防火墙的分类和功能也在不断细化,但总的来说,可以分为以下两大类:包过滤防火墙、应用级防火墙。 包过滤防火墙又叫网络级一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。应用级防火墙主要工作在应用层,往往又称为应用级网关,它检查进出的数据包,通过自身(网关)复制传递数据,防止在受信主机与非受信主机间直接建立联系。新一代的防火墙往往将两种技术混合使用,称为混合型防火墙。 * 规则的匹配原则与防火墙的具体实现有关,特别是默认规则。 例如:Cisco PIX,,设置NAT后,默认为内到外为通,外到内不同;个别防火墙默认为全通,需使用者注意。 包过滤防火墙中引入了状态检测表. 传统的包过滤在遇到利用动态端口的协议时会发生困难,如ftp,防火墙事先无法知道哪些端口需要打开,而如果采用原始的静态包过滤,又希望用到此服务的话,就需要实现将所有可能用到的端口打开,而这往往是个非常大的范围,会给安全带来不必要的隐患。而状态检测通过检查应用程序信息(如ftp的PORT和PASS命令),来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。 * * * (1)双机热备: 在保证主机正常工作、从机处于待机正常待机状态的情况下,断开防火墙 主机和测试机之间的连接,验证从机能否接替主机正常工作,即在较短时 间内恢复连接。 (2) 负载平衡功能: A.提供多台防火墙之间的负载均衡,以解决防火墙在网络中造成的瓶颈问题。 B.在提供相同服务的多个应用服务器之间实现负载分担,应用服务器不要 求都放在防火墙后面,用户可选用不同的负载均衡算法。 * 设置联动规则,验证联动功能。 问题:对于伪造源IP地址的处理。 * * 分别介绍一下这些区域的概念。 * 最大位转发率 FW的位转发率指在特定负载下每秒FW将允许的数据流转发到正确的接口的位数,最大位转发率是指在不同的负载下反复测量得出的最大位转发率数值中的最大指。 吞吐量 在不丢包的情况下能达到的最大速率,吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小会造成网络瓶颈,以至影响到整个网络的性能。 延时 入口处输入帧最后1个比特到达至出口处输入帧的第一个比特输入所用的时间间隔,延时能够体现他处理数据的速度。 丢包率 在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比,FW的丢包率对其稳定性,可靠性有很大的影响。 背靠背 从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个丢帧时,发送的帧数量。这个参数能体现FW的缓冲容量,网络上经常有一些应用会产生大量的突发数据包(路由更新),而这样的数据包的丢失可能会产生更多的数据包,强大缓冲芰梢约跣≌庵殖逋欢酝缭斐傻挠跋臁 并发连接数 指穿越FW的主机之间或主机与防火墙之间能同时建立的最大连接数。这个参数主要用来测试FW建立和维持TCP连接的性能,同时也能通过并发连接数的大小体现被测防火墙对来自客户端的TCP连接请求的响应能力。 最大并发连接建立速率 指穿越FW的主机之间或主机与FW之间单位时间内建立的最大连接数。这个参数主要用来衡量FW单位时间内建立和维持TCP连接的能力。 * 现在客户的安全意识已经提高很多,对于刚才提到的问题,客户已经采取一些安全措施。 这是一个典型的局域网络,对外提供WEB、MAIL服务,对内提供网上办公和上网服务。 客户一般会在出口部署防火墙来进行访问控制,部署入侵检测系统来检测攻击。 但我们看到,防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码,比如针对WEB服务的Unicode攻击,而蠕虫爆发往往首先让防火墙瘫痪,对于P2P下载防火墙同样无能为力。 入侵检测系统虽然能够监测到攻击,但它提供的与防火
文档评论(0)