网络安全设备概述.pdf

网络安全设备概述 知识域：网络安全设备 知识子域：防火墙技术  理解防火墙的作用、功能及分类  理解包过滤技术、状态检测技术和应用代理技术等 防火墙主要技术原理  掌握防火墙的部署结构  理解防火墙的局限性 2 防火墙基本概念 什么是防火墙  一种协助确保信息安全的设备 Internet ，会依照特定的规则，允许或 是限制传输的数据通过。 防火墙部署在哪 防火墙  可信网络与不可信网络之间  不同安全级别网络之间  两个需要隔离的区域之间 3 防火墙的作用 为什么需要防火墙  控制：在网络连接点上建立一个安全控制点，对进 出数据进行限制  隔离：将需要保护的网络与不可信任网络进行隔离 ，隐藏信息并进行安全防护  记录：对进出数据进行检查，记录相关信息 安全网 域一 4 防火墙的分类 按主要技术分  包过滤型  代理型  混合型 按体系结构分  筛选路由器  双宿/多宿主机防火墙  屏蔽主机防火墙  屏蔽子网防火墙  混合结构 其他分类方法 5 防火墙的实现技术 包过滤技术 状态检测技术 代理网关技术 6 防火墙的实现技术-包过滤 实现机制：依据数据包的基本标记来控制数据 包  网络层地址：IP地址（源地址及目的地址）  传输层地址：端口（源端口及目的端口）  协议：协议类型 安全网 域一 7 防火墙的实现技术-包过滤  优点:  逻辑简单，功能容易实现，设备价格便宜  处理速度快  可以识别和丢弃带欺骗性源IP地址的包  过滤规则与应用层无关，无须修改主机上的应 用程序，易于安装和使用  缺点：  过滤规则集合复杂，配置困难  无法满足对应用层信息进行过滤的安全要求  不能防止地址欺骗，及外部客户与内部主机直 接连接 8  安全性较差，不提供用户认证功能 防火墙实现技术--状态检测 在数据链路层和网络层之间对数据包进行检测 创建状态表用于维护连接上下文 应用层 应用层 应用层 表示层 表示层 表示层 会话层 会话层 会话层