网络管理与信息安全67436.pptVIP

8.2 防火墙技术 (Firewall) 8.2.1 防火墙主要技术 8.2.2 防火墙分类 8.2.3 防火墙的选择标准和发展方向 8.2.1 防火墙主要技术 防火墙：是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障，由一个或一组系统(设备)组成,用以实施网络间的访问控制策略。防火墙将受保护的网络(内部网)和未受保护的网络连接在一起,或者支持三区网络(DMZ非武装网络)。狭义的防火墙：指安装了防火墙软件的主机或路由器系统。广义的防火墙：还包括整个网络的安全策略和安全行为。 防火墙技术包括： 包过滤技术 网络地址翻译 应用级代理 8.2.3 防火墙主要技术 包/分组过滤技术 包过滤技术（Packet Filtering）是在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则又称为访问控制表。这种防火墙通常安装在路由器上，如图8.3所示。 图8.3　包过滤技术 这种技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。 8.2.3 防火墙主要技术 包过滤技术包括两种基本类型：无状态检查的包过滤和有状态检查的包过滤，其区别在于后者通过记住防火墙的所有通信状态，并根据状态信息来过滤整个通信流，而不仅仅是包。 有许多方法可绕过包过滤器进入Internet ，包过滤技术存在以下