- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Internet防火墙技术基础
Internet防火墙技术基础
第一节 防火墙技术简介 3
一、防火墙基本概念 3
1.什么是防火墙 3
2.防火墙的优点 3
3.防火墙的缺点 3
二、防火墙基本原理 3
1.OSI网络安全体系结构 3
2.防火墙模型 3
3.防火墙的类型 4
4.防火墙安全策略 4
第二节 防火墙体系结构 5
一、包过滤器 5
1.工作原理 5
2.过滤规则 5
3.优点 5
4.缺点 5
5.应用场合 5
二、双宿主机 6
1.工作原理 6
2.特点 6
3.双宿网关防火墙 6
4.实例 6
三、屏蔽主机 6
1.工作原理 6
2.特点 7
四、屏蔽子网 7
1.工作原理 7
2.特点 7
3.各种变形 7
五、堡垒主机 8
1.基本思想 8
2.设计原则 8
3.结构形式 8
第三节 防火墙关键技术 8
一、包过滤技术 8
1.包过滤模型 8
2.包过滤规则的组成 8
二、应用级代理 9
1.基本原理 9
2.代理的优点 9
3.代理的缺点 9
4.使用代理的原则 9
5.使用SOCKS进行代理 10
三、地址翻译技术 10
1.基本原理 10
2.翻译模式 10
四、虚拟专用网(VPN) 10
1.基本原理 10
2.基本功能 10
3.特点 10
4.VPN中的安全协议 10
5.基本类型 11
6.VPN的实现 11
五、其他防火墙技术 11
第一节 防火墙技术简介
一、防火墙基本概念
1.什么是防火墙
一个独立的进程或一组紧密结合的进程,运行于路由器或服务器上,通过控制经过防火墙的网络应用程序的通信流量,加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络设备不被破坏,防止内部网络数据被窃取。
2.防火墙的优点
集中化的网络安全管理;
保护网络中脆弱的服务;
在防火墙上可以方便地监视网络的安全性,并产生报警和日志;
在防火墙上可进行网络地址转换NAT(Network Address Translation);
可增强网络的保密性;
是审计和记录网络流量的最佳场所;
可作为部署WWW服务器和FTP服务器的理想场所
3.防火墙的缺点
必须限制有用(但安全性较差)的网络服务;
无法防范内部网络用户的攻击;
无法防范绕过防火墙的攻击;
不能防止病毒的传播;
无法防范数据驱动型攻击;
二、防火墙基本原理
1.OSI网络安全体系结构
物理层 数据联路层 网络层 传输层 会话层 表示层 应用层 对等实体鉴别 ( ( ( 访问控制 ( ( ( ( ( 连接保密 ( ( ( ( ( ( 选择字段保密 ( ( 报文流安全 ( ( ( 数据完整性 ( ( ( ( 数据源鉴别 ( 禁止否认服务 ( 2.防火墙模型
3.防火墙的类型
双宿主机;
屏蔽主机;
屏蔽子网
4.防火墙安全策略
未被允许就是被禁止;未被禁止就是被允许;
用户帐号策略;
用户权限策略;
信任关系策略;
包过滤策略;
认证策略;
签名策略;
数据加密策略;
密钥分配策略;
审计策略
第二节 防火墙体系结构
一、包过滤器
1.工作原理
以所收到的IP数据包的源地址、目的地址、封装协议类型(TCP、UDP、ICMP等)、源端口号、目标端口号及ICMP报文类型等信息为依据,由预先设置好的过滤规则决定是否允许(或拒绝)该IP数据包通过。
2.过滤规则
过滤规则的组成:
过滤规则序号FRNO(Filter rule Number);
动作(Action):允许(Allow)或禁止(Block);
源IP地址SIP(Source IP address);
源端口SP(Source Port);
目的IP地址DIP(Destination IP address);
目的端口DP(Destination Port);
协议标志PF(Protocol Flag option);
注释(Comment)
过滤规则的制定:
3.优点
一台包过滤器就可保护整个网络;
处理速度快;
对用户透明;
可集成到路由器中,实现方便;
4.缺点
过滤规则定义较复杂,不利于维护和测试;
只能防范一种IP欺骗(外部主机伪装内部主机的IP);
不能防范数据驱动式攻击(如通过E-mail);
不支持有效的用户验证;
不能提供有效的日志;
过滤器数量较大时会影响路由器的吞吐量;
无法对网上信息提供全面的控制
5.应用场合
机构是非集中化管理;
机构没有强大的集中安全策略;
网络中主机较少;
主要依靠主机安全来防止入侵;
无法使用DHCP动态分配IP地址
二、双宿主机
1.工作原理
使用带有两个网络接口的主机(Dual-Homed Host)代替路由器执行安全控制功能,同时完成路由寻径工作:
2.特点
使用用户帐号控制对内部网
文档评论(0)