- 1、本文档共73页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络安全技术:防火墙
IP网络技术 网络安全技术:防火墙 目 录 防火墙基本概念 防火墙相关技术 防火墙技术发展趋势 防火墙的部署方式 网络系统的风险和威胁 所有的软件都是有错的. 通常情况下99.99%的无错程序很少出现问题. 安全相关的99.99%的无错程序可以确信会有人利用那0.01%的错误. 0.01%安全问题等于100%的失败. 无处不在的攻击 经济利益的驱使. 技术怪才们的成就感. 攻击的自动化, 远程化和协作化. 网络技术的普及也导致了攻击技术的广泛传播,包括攻击方法和攻击工具 网络系统安全的复杂性 网络元素的复杂性 PC主机: 硬件系统 OS系统: linux/windows/solaris/winCE/Vxworks/IOS/ 应用软件: 交换设备/路由设备: 多种的网络协议: 管理模式的复杂性 安全意识 内部人员的管理,权限分配和密码管理 错误的网络配置 安全措施实施的难度 数据通信网络拓扑结构 数据通信设备 Hub集线器 连接多个网络设备,提供802.3协议的电气互联功能,不具有交换功能.所有的用户共享带宽. 交换机 二层交换机:利用端口和MAC地址的映射关系进行数据报文的转发. 三层交换机:具有二层交换机功能以及部分路由器的功能,实现利用IP地址和MAC地址进行转发. 路由器 边缘路由器:路由表相对较小. 核心路由器:大容量的路由表,高的处理能力. 网关:实现一种协议到另外一种协议的转换功能. 防火墙:作为一个网络接入到另外一个网络的安全控制点. 防火墙的定义 防火墙是位于两个(或多个)网络之间,实施网络间控制的一组组件的集合,它满足以下条件: (1)内部和外部网络之间的数据都必须流经防火墙. (2)只有符合预先定义的安全策略的数据才能通过防火墙. (3)防火墙能够具有自我免疫的能力,能够抵制各种攻击. (4)防火墙具有完善的日志/报警/监控功能,良好的用户接口 防火墙的基本概念 防火墙基本作用 合理划分网络,设置访问控制点,保护私有网络. 防止进攻者接近内部网络 限制内部用户的外部访问行为 对外部隐藏内部网络细节 提供内部网络和外部网络的连通 防火墙五大核心功能 防火墙的分类 包过滤防火墙 工作在传输层和网络层. 状态检测包过滤防火墙(SPF: Stateful Packet Filtering) 工作在传输层和网络层,除了进行数据包安全规则匹配和过滤外,提供对于数据连接的状态检测,这是目前主流的防火墙技术 应用层(代理)防火墙 工作在应用层,表示层或者会话层. 简单包过滤防火墙工作原理 包过滤防火墙也称作访问控制列表,它是根据已经定义好的过滤规则来审查每个数据包,并确定该数据包是否与过滤规则匹配,从而决定数据包是否能通过。 包过滤防火墙对每一个数据包的包头进行分析,按照包过滤规则来进行判定,与规则相匹配的包根据路由信息继续转发,否则就将之丢弃。此外,包过滤防火墙会对每一个通过防火墙的数据包的包头长度、选项、数据段和标志等信息进行结构化检查,以防止错误的数据包通过防火墙。 包过滤防火墙的优缺点 优点 可以与现有的路由器集成,也可以用独立的包过滤软件来实现,而且数据包过滤对用户来说是透明的,成本低、速度快、效率高。 缺点 包过滤技术的主要依据是包含在IP报头中的各种信息,可是IP包中信息的可靠性没有保证,IP源地址可以伪造,通过内部合谋,入侵者轻易就可以绕过防火墙; 并非所有的服务都与静态端口绑定,包过滤只能够过滤IP地址,所以它不能识别相同IP地址下不同的用户,从而不具备身份认证的功能; 工作在网际层和传输层,不能检测那些对高层进行的攻击; 如果为了提高安全性而使用很复杂的过滤规则,那么效率就会大大降低; 对每一个数据包单独处理,不具备防御DoS攻击和DDoS攻击的能力。 状态检测包过滤防火墙工作原理 状态检测防火墙是一种动态包过滤防火墙,也称为自适应防火墙,它在基本包过滤防火墙的基础增加了状态检测的功能。 状态检测防火墙记录和跟踪所有进出数据包的信息,对连接的状态进行动态维护和分析。一旦发现异常的流量或异常的连接,就动态生成过滤规则,制止可能的攻击行为。因此,状态检测防火墙具有较强的对DoS攻击和DDoS攻击的防御能力。 状态检测防火墙的优缺点 优点 具备包过滤防火墙的一切优点; 能够灵活地动态地生成过滤规则,自动适应网络的工作状态; 具备较好的DoS攻击和DDoS攻击防御能力; 与应用代理防火墙相比,状态检测防火墙工作在协议栈的较低层,通过防火墙的所有数据包都在底层处理,减少了高层协议栈的开销,执行效率较高,具有较好的可伸缩性和易扩展性,应用范围广。 缺点 不能对应用层数据进行控制; 不能记录高层次的日志。 代理防火墙工作原理 应用代理防火墙工作在应用层,它针对专门的应用层协议制定数
您可能关注的文档
- 编译原理综合练习.ppt
- 编译原理课件 第 7 讲 语法制导翻译和中间代码生成.ppt
- 编译原理课后答案——第十一章 小型编译程序.ppt
- 绿色建筑之屋顶绿化.ppt
- 缝纫工培训.ppt
- 绿色化学经典讲义Chapter 1 上.ppt
- 网上拍卖系统详细设计说明书.doc
- 缴润凯——园长领导艺术的心理学分析.ppt
- 网上的专利检索方法.ppt
- 网友最想知道的商界大佬小秘密.doc
- 人教新目标版英语九年级 中考模拟学情评估(三)(含答案).pdf
- 上海市风华中学2024-2025学年高三上学期9月阶段测试英语试题(无答案).pdf
- 统编版2024-2025学年语文六年级上册期末检测卷(有答案).pdf
- 人教新目标版英语九年级第二学期全册学情评估(含答案).pdf
- 内蒙古自治区巴彦淖尔市杭锦后旗第六中学2024-2025学年八年级上学期阶段性测试历史试题(解析版).pdf
- 湖南省娄底市涟源市部分学校2024-2025学年高一上学期9月月考语文试题 Word版无答案.pdf
- 湖南省衡阳市常宁市2023-2024学年七年级上学期期末考试英语试题.pdf
- 湖南省娄底市涟源市部分学校2024-2025学年高一上学期9月月考语文试题 Word版含解析.pdf
- 江苏省泰州市姜堰区城西实验学校2024-2025学年部编版九年级上学期月考历史试卷(原卷版).pdf
- 内蒙古伊金霍洛旗2022-2023学年七年级上学期期末考试英语试题.pdf
最近下载
- 第十一单元第二十一节德彪西教学课件-2021-2022学年高中音乐人音版必修音乐鉴赏.pptx
- 人教中图版(2019)信息技术必修2 1.2 认识信息社会 教案(表格式).docx
- 高性能低表面处理环氧涂料的制备和性能研究.docx VIP
- 永临结合及转换方案-投标200页简易版.docx
- 【语文】人教部编版语文八年级上册:古诗文理解性默写(完整版).pdf VIP
- 基本乐理音程介绍PPT课件.pptx
- GB_T27065-2015_合格评定产品、过程和服务认证机构要求.doc
- 环氧改性有机硅树脂低表面能涂料的研制.doc VIP
- 0~3岁婴幼儿心理发展与教育(高职)全套教学课件.pptx
- 语文一年级上册核心素养教案全册.pdf VIP
文档评论(0)