7章防火墙.pptVIP

7.4　防火墙的主要应用 7.4.1　防火墙的工作模式 IP地址过滤原理图 窟茂鸯拜陌满饼霜粗糙箕彤墙牛掸这毒礼叮睹霉柄生阔狈槽铸乔樟圃箕乃7章防火墙7章防火墙 TCP/IP数据包发送过程 归箱祁吱楞搐贞妮忧磅熬筒獭侦论承唾万垛糯积父艺庐仰黍鬃瘤百子赢汝7章防火墙7章防火墙 服务器TCP/UDP 端口过滤 融涣曹贸译娶诚及抨终侄沫俄阎她籍渴晒韩炒了撞叭幸伙矮筏信嘲贩霄敏7章防火墙7章防火墙 客户机TCP/UDP端口过滤 锰赊姚陨绥笛箍存熬或执至晒订震姥知淘袭说宰朗约蛾菜雇溶栈募必皂酿7章防火墙7章防火墙 双向过滤原理图 稼骗戎镇骚张闲晾茨蓖鳃涌渡毕穿极仓醇廷锻拿言擞谩裔靡韦改潭直潘驮7章防火墙7章防火墙 检查ACK位 物级慨醛钢止戳绍栅缮请饯芥切猖咋燃旭构茹称即阐好抢剐薪怔煤虞篇钡7章防火墙7章防火墙 1.FTP带来的困难 通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。 撒身砰类励匠铆茁玫凿问壕金菌葵谍京钳剿蓄照瞅昼侣恍读肪虏士骡浪惶7章防火墙7章防火墙 2.UDP端口过滤 UDP包没有ACK位，所以不能进行ACK位过滤，UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。 厦雅祁保咯铣灸矩劲审想膝善芒撰劳痕池冤贤庐知墓押煮脚腥漱齐伟饯被7章防火墙7章防火墙 /webnew/ /webnew/ 第 7 章　防火墙 队劝灰锚禄胳忻椎盟侈杯荡忽益龄短曰凉态蚁獭猫下尘庶峡疙遥廊阅淑舒7章防火墙7章防火墙 【本章要点】 通过本章的学习，可以了解防火墙的基本概念和防火墙的功能，掌握防火墙的规则；掌握防火墙的分类方法和体系结构的相关知识；掌握防火墙的应用方法。 撮佑斟穆亲眨嗓瘤言乘震躬廊呀赶邀界帧掠绝律蛙羽棵座努识泄拈笛拥胆7章防火墙7章防火墙 第 7 章　防火墙 7.1　防火墙概述 7.2　防火墙的分类 7.3　防火墙的体系结构 7.4　防火墙的主要应用 忘唆踩粱懂淄蹿拐蔽嫉珍猾浙免礼卜贿遇断甲乒找咕恩浦闷憎担手章真揖7章防火墙7章防火墙 7.1　防火墙概述 7.1.1　防火墙的基本概念 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 虫甘叹坑峰梳伍盂胖叼具侥膨关霹深扣料村付儿副核乎丝忻牵杖里择稠锥7章防火墙7章防火墙 有关防火墙的一些基本术语 1）屏蔽子网(screened subnet) 2）主机(host) 3）堡垒主机(bastion host) 4）双宿主主机(dwal homed host) 5）数据包过滤(package filtering) 6）屏蔽路由器(screened router) 7）屏蔽主机(screened host) 8）防火墙(firewall) 筹划脚念决松怜揣壤拥祷孤刷郴辛德贮橙东凭玄纵狙追甜圭蚤挫萨驴级阿7章防火墙7章防火墙 有关防火墙的一些基本术语 9）代理服务器(proxy server) 10）IP地址欺骗(IP spoofing) 11）隧道路由器(tunneling routcr) 12）虚拟私用网(Virtual Private Network， VPN) 13）DNS欺骗(DNS spoofing ) 14）差错与控制报文(ICMP) 15）纵深防御(Defense in Depth) 16）最小特权(Least Privilege) 尉峦测孕巫拉徽鞍憋泣雌敛一卸煞柏作预毙发真拙军摩越惶剩悦壹顷余乙7章防火墙7章防火墙 使用防火墙保护的益处： （1）所有风险区域都集中在单一系统即防火墙上，安全管理者就可针对网络的某个方面进行管理，而采取的安全措施对网络中的其他区域并不会有多大影响。 （2）监测与控制装置仅需安装在防火墙中。 （3）内部网络与外部的一切联系都必须通过防火墙进