第11章网络安全防御系统案例.ppt

  1. 1、本文档共129页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
什么是防火墙 古代修筑在房屋之间的一道墙,用于防止火势蔓延 Rich Kosinski(Internet Security公司总裁): 防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,控制进/出两个方向的通信。 防火墙的原理 Willam Cheswick和 steven Beellovin:防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合,它满足以下条件: 内部和外部之间的所有网络数据流必须经过防火墙; 符合安全政策的数据流才能通过防火墙; 防火墙自身能抗攻击。 一个典型的防火墙使用形态 防火墙示意图 防火墙的概念是广义的 在逻辑上,防火墙是分离器,限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。 在物理上,防火墙通常是一组硬件设备——路由器、主计算机,或者是路由器、计算机和配有软件的网络的组合。 防火墙一般可分为多个部分,某些部分除了执行防火墙功能外还执行其它功能。如:加密和解密——VPN。 防火墙的作用 确保一个单位内的网络与因特网的通信符合该单位的安全方针,为管理人员提供下列问题的答案: – 谁在使用网络 – 他们在网络上做什么 – 他们什么时间使用了网络 – 他们上网去了何处 – 谁要上网没有成功 防火墙的实施策略 一切未被禁止的就是允许的(Yes规则) 确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。 一切未被允许的就是禁止的(No规则) 确定所有可以被提供的服务以及它们的安全性,然后开放这些服务,并将所有其他未被列入的服务排除在外,禁止访问。 防火墙的分类 根据防火墙形式分类 根据防火墙结构分类 按照防火墙应用部署分类 根据防火墙实现技术分类 根据防火墙形式分类 软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。 硬件防火墙 基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。 芯片级防火墙 基于专门的硬件平台,速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。 根据防火墙结构分类 单一主机防火墙 最为传统的防火墙,独立于其它网络设备,位于网络边界。一般都集成了两个以上的以太网卡,连接一个以上的内、外部网络。 路由器集成式防火墙 在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙 分布式防火墙 由多个软、硬件组成的系统。渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ,一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。 按照防火墙应用部署分类 网络防火墙 位于内、外部网络的边界,所起的作用的对内、外部网络实施隔离 基于主机的防火墙 安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,在功能上有很大的限制。 根据实现技术分类 包过滤防火墙 状态防火墙 应用网关防火墙 11.1.3 包过滤防火墙 包过滤防火墙是最早出现的、形式最简单的一种防火墙。 通常在路由器上通过访问控制列表来实现,通过检查数据包的报头信息,根据数据包的源地址、目的地址和以上其他的信息组合,按照过滤规则来决定是否允许数据包通过。 包过滤防火墙在根据规则对数据包的相关内容进行匹配时,一般不判断数据包的上下文,只根据当前的数据包内容做决定。 包过滤防火墙通常可以根据源IP地址、目的IP地址、传输层协议、端口号等来进行数据包的过滤 一个包过滤防火墙的应用实例 包过滤防火墙的优缺点 优点: 性能优于其他防火墙,因为它执行的计算较少,并且容易用硬件方式实现; 规则设置简单,通过禁止内部计算机和特定Internet资源连接,单一规则即可保护整个网络; 不需要对客户端计算机进行专门配置。 缺点: 对管理员的知识要求高; 不能阻止应用层的攻击; 只对某些类型的TCP/IP攻击比较敏感; 不支持用户的连接认证; 只

文档评论(0)

1112111 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档