原创力文档- 1、本文档共29页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网御防火墙原理介绍 方案营销处 2003-12 学习目的 了解防火墙在公司安全策略中的作用 通用的防火墙术语 了解包过滤防火墙及规则 了解电路级网关 了解应用层网关 防火墙的定义 防火墙是设置在不同安全级别安全域之间的一 道屏障,可以设置安全策略来控制信息流,防 止不可预料的潜在的入侵破坏活动。 从内部到外部或从外部到内部的所有通信都 必须通过防火墙 只有符合本地安全策略的通信才允许通过 防火墙的作用 贯彻公司的安全策略 提供不同网络之间的节流点 记录被防火墙隔离的安全域之间的活动 保护网络内部的主机 防火墙术语 网关 A system that provides relay services between two devices 包过滤 Devices that process network traffic on a packet-by-packet basis 电路级网关 Devices that process network traffic on session layer Can provide NAT 应用层网关(代理服务器) Function at all layers of the OSI/RM Proxy server: Communicate with external servers on behalf of the internal client 防火墙术语 网络地址转换(NAT) NAT translate internal IP to public IP address IP address hiding 壁垒主机 A secure computer system placed directly between a trusted network and an untrusted one Often deploys gateway services: (SMTP, WEB...) 操作系统加固 firewall’s installation program disables or removes all unnecessary service 非军事化区(DMZ) DMZ区是位于内网和外网之间的中间区域 被一个屏蔽路由器和节流路由器创建 屏蔽路由器= 包过滤路由器 外部路由器(对外部网络) 节流路由器(内部路由器) 定义了公网能访问内网的接入点 网络地址转换(NAT) 客户端 IP = IP = IP = Computer Running NAT
Internal IP =
External IP = The client sends the packet to the computer running NAT The computer running NAT determines the destination, changes the packet header, and sends the packet to the client The computer running NAT changes the packet header and sends the packet over the Internet to the Web server The Web server sends a reply to the computer running NAT Internet Web Server
IP = 防火墙默认配置 拒绝所有流量 允许所有流量 防火墙分类 包过滤 : 5元组 状态检测的包过滤 状态检测技术最早是CheckPoint提出的,就是从TCP 连接的建立到终止都跟踪检测的技术 状态检测模块分析所有的包通讯层,汲取相关的通信和 应用程序的状态信息。状态检测模块能够理解并学习各 种协议和应用,以支持各种最新的应用 允许检查OSI七层模型的所有层以决定是否过滤, 而不仅仅是网络层 应用层代理防火墙 运行在应用层的防火墙,实质是启动两个连接,一个是 客户到代理,另一个是代理到目的服务器。 包过滤的优点和缺点 包过滤工作在 OSI/RM模型的网络层 优点 工作在网络层和传输层,不需改动客户机和主机的 应用程序 易于实现,路由器就可以实现 缺点 只涉及到TCP层,提供安全级别低 不支持用户验证 需创建过多规则 不提供日志功能 不能分辨好坏包 需要丰富的 TCP/IP知识 易于被欺骗 代理服务器 三种基本的代理服务 : Web 代理 Circuit-level gateway电路级网关 Application-level gateway应用层网关 Web代理 优点: 加快对
文档评论(0)