防火墙配置一规划方案.pptVIP

第10章 防火墙配置 ;10.1 防火墙的基本配置原则 ;10.2 因地制宜：三种防火墙配置方案;双宿主机网关（Dual Homed Gateway） 这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络（如图）;8;10.3 防火墙技术的演变过程;2 状态检测防火墙（Stateful Inspection Firewall） 状态检测防火墙出现，并成为市场上的绝对领导者，主要有以下原因，包括性能，部署能力和扩展能力。他们在90年代中期得到了迅速发展。1993年，Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品。 状态检测防火墙工作于网络层，与包过滤防火墙相比，状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址，目的IP地址，源端口，目的端口和通讯协议等。与包过滤防火墙不同的是，状态检测防火墙是基于会话信息做出决策的，而不是包的信息； 状态检测防火墙验证进来的数据包时，判断当前数据包是否符合先前允许的会话，并在状态表中保存这些信息。状态检测防火墙还能阻止基于异常