高级计算机网络演示课件.ppt

防火墙有三种实现手段 ●? 分组过滤：这种方法过滤掉那些未经证实的主机发来的TCP/IP分组，并拒绝内部 使用那些未经授权的服务以及与其建立连接。 ●? IP伪装：以一个虚假的IP地址代替内部主机的IP地址，这样可以躲避外部的监视。 ●? 代理服务：这种方法是通过在高层建立代理，从而在网络层完全断绝内部和外部之间的连接。 精 * 安全手段 ●??? 加密鉴别：为公共网络的用户提供身份检查的功能，这样企业的职员从外部也可以访问企业专用网了。 ●加密隧道：通过一个与Internet一样的公共媒介，在两个专用网间建立虚网络安全连接，这种方式为物理上分散的网络通过Internet,而不是租用线建立通信连接提供了可能。 精 * 防火墙的种类 数据包过滤防火墙 双位置网关防火墙 主机屏蔽防火墙 子网屏蔽防火墙 精 * 数据包过滤防火墙 精 * 数据包过滤器 数据包过滤防火墙是最普通的防火墙，最适合于简单网络。这种方法只需简单地在Internet网关处安装一个数据包过滤路由器，并设置过滤规则阻挡协议或地址。 数据包过滤器在发送前检查每一个数据包，在将其与规则进行对比，决定什么类型的数据包是允许的，什么类型是禁止的。IP数据包过滤功能是在比IP协议更低层执行的。IP在每台主机上运行，负责将数据包送到相应的目的地。 数据包过滤路由器对IP数据包的过滤基于如下几个方面： (1)源IP地址 (2)目的IP地址 (3)TCP/UDP源端口 (4)TCP/UDP目标端口 精 * 数据包过滤器 数据包过滤设备检查数据包的标题，这一部分描述了连接及使用的协议。数据包过滤器基于以下条件对数据包过滤： 2??????? 源及目的IP地址 2?????? 源及目的的端口。这些端口表明了对TCP/UDP 的使用，如FTP、Telnet、SNMP或RealAudio。 2???? TCP。这是一种面向连接的协议，用于绝大多数服务器，如FTP、Telnet。 2??????? UDP（用户数据报协议）。这是一种无连接协议，用于SNMP及RealAudio。 2??????? ICMP（Internet控制报文协议）。这是一种Internet的低层管理协议。 2??????? 数据包是否是新的TCP/IP连接的第一个数据包或是接着的数据包。 2??????? 数据包是起源于某局部应用或指定用于某局部应用。 数据包是内界的还是外界的。 精 * 双位置网关防火墙 精 * 双位置网关防火墙 双位置网关防火墙可能是一种更好的方案。双位置网关配置在一个主机上设立了两个网络接口并禁止了主机的IP 移动。换句话说，双位置网关连接了两个网络。一个是内部安全网络，另一个是通过路由器连接到Internet的周边网络。这种方案完全禁止了Internet与内部网络之间的IP 传输。 双位置网关通常用于禁止访问没有得到特别允许的所有设备。例如，这种类型的防火墙可以用来分隔通信，允许从外界访问信息服务器，同时禁止访问任何其他服务器。 由于存在两个域名服务器，内部主机的名字对Internet上的任何用户都是不可见的；然而，内部用户仍然可因访问全系统，甚至包括周边网上的公用服务器。 精 * 主机屏蔽防火墙 精 * 主机屏蔽防火墙 主机屏蔽防火墙比双位置防火墙具有稍多一些的灵活性。这种防火墙在路由器的被保护的一边，综合使用了数据包过滤路由器和应用网关。与双位置网关方案不同，它只需一个网络接口。在有代理服务的情况下，应用网关把Telnet（远程登录）及其他服务发送给专用系统。路由器滤除危险协议，以防这些协议到达网关及专用系统。 在主机屏蔽防火墙系统中，内部网络与周边网络的分隔是逻辑上的，而不是物理上的。也就是说，数据包过滤规则仅仅用于检查Internet与网关及公用服务器之间的通信业务。 由于是逻辑的，而不是物理上的分隔，因此这种配置不允许存在错误，如果公用服务器遭到外界攻击，它可能变成一个同往内部网络的入口。 精 * ? 子网屏蔽防火墙 子网屏蔽防火墙与双位置屏蔽防火墙相似。使用这种设置，防火墙的每个构成部分都位于不同的系统中。尽管设置更复杂，但提供了更好的灵活性和更大的处理能力。 在这种配置中，两个路由器建立了一个 内部屏蔽的子网，子网中包含应用网关、信息服务器、调制解调器或应限制访问的其他系统。 在这种类型的防火墙配置条件下，从Internet上不能直接访问任何系统，路由器将通信业务转给专用系统。外部路由器限制了Internet访问专用系统，并禁止了到Internet的其他通信，这些通信可能起源于不需要Inte