[信息与通信]5防火墙技术应用.ppt

学习情境5防火墙技术应用 5.1Internet安全概述 5.2防火墙概念 5.3防火墙的位置 5.4防火墙的基本特性 5.5防火墙的功能（作用） 5.6防火墙的类型 5.7防火墙技术发展动态和趋势 5.8防火墙系统的设计 5.9选择防火墙的原则 5.10主流防火墙产品介绍 5.11防火墙应用举例 OSI模型（ Open System Interconnection Reference Mode ） 第七层应用层，为操作系统或网络应用程序提供访问网络服务的接口。相当于公司中的老板。 第六层表示层，协商数据交换格式；即对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。相当于公司中简报老板、替老板写信的助理。 第五层会话层，允许用户使用简单易记的名称建立连接；即负责建立、管理、终止进程之间的会话，还利用在数据中插入校验点来实现数据的同步。相当于公司中收寄信、写信封与拆信封的秘书。 第四层传输层，提供终端到终端的可靠连接；传输层是第一个端到端，即主机到主机的层次；负责将上层数据分段并提供端到端的、可靠的或不可靠的传输；此外，还处理端到端的差错控制和流量控制问题。相当于公司中跑邮局的送信职员。 第三层网络层，负责对子网间的数据包进行路由选择；还可以实现拥塞控制、网际互连等功能；相当于邮局中的排序工人。 第二层数据链路层，在不可靠的物理介质上提供可靠的传输。该层的作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。相当于邮局中的装拆箱工人。 第一层物理层，将数据转换为可通过物理介质传送的电子信号；为上层协议提供了一个传输数据的物理媒体。相当于邮局中的搬运工人。 TCP/IP协议 TCP/IP ，是指传输控制协议/网际协议, 定义了电子设备（如计算机）如何连入因特网，以及数据如何在它们之间传输的标准，是供已连接因特网的计算机进行通信的通信协议。 TCP/IP整体构架 TCP/IP协议是一组包括TCP协议和IP协议，UDP（User Datagram Protocol）协议、ICMP（Internet Control Message Protocol）协议和其他一些协议的协议族。 TCP/IP的内部结构 OSI参考模型 VS TCP/IP参考模型 TCP/IP的内部结构 应用层：一般是面向用户的服务，是应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。 传输层：提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。 TCP/IP的内部结构 网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如IP协议、ICMP控制报文协议、ARP地址转换协议、RARP反向地址转换协议。 网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。是TCP/IP的最低层是接口层，常见的接口层协议有：Ethernet 802.3、Token Ring 802.5、X.25、HDLC、PPP等。 计算机 1 向计算机 2 发送数据 应用层(application layer) TCP/IP中的协议 IP协议 IP协议（网际协议） IP是TCP/IP的心脏，也是网络层中最重要的协议。 规定了数据传输时的基本单元和格式，定义了数据包的递交办法和路由选择。 IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。 IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。 IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。 高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。 　 TCP协议 如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向‘上’传送到TCP层。 TCP将包排序并进行错误检查，同时实现虚电路间的连接。 TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。 TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。 应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后到接收方。 面向连接的服务（例如F