- 1、本文档共58页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙-防火墙技术;防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。;防火墙是指隔离在本地网络与外界网络之间的一道防御系统。
通过防火墙可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。;防火墙嵌入在局域网和Internet连接的网关上
所有从内到外和从外到内的数据都必须通过防火墙(物理上阻塞其它所有访问)
只有符合安全政策的数据流才能通过防火墙;确保一个单位内的网络与因特网的通信符合该单位的安全方针,简单地说,就是要为管理人员提供下列问题的答案:
– 谁在使用网络?
– 他们在网络上做什么?
– 他们什么时间使用了网络?
– 他们上网去了何处?
– 谁试图上网但没有成功?
;根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。
可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户
防止入侵者接近网络防御设施
限制内部用户访问特殊站点
由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。Internet上的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。;防火墙对企业内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行
防火墙能防止非授权用户进入内部网络,有效地对抗外部网络入侵
由于所有的访问都经过防火墙,防火墙成为审计和记录网络的访问和使用的最佳地点,可以方便地监视网络的安全性并报警。
可以作为部署网络地址转换(Network Address Translation)的地点,利用NAT技术,可以缓解地址空间的短缺,隐藏内部网的结构。
利用防火墙对内部网络的划分,可以实现重点网段的分离,从而限制安全问题的扩散。
防火墙可以作为IPSec的平台,可以基于隧道模式实现VPN 。;为了提高安全性,限制或关闭了一些有用但存在安全缺陷的网络服务,给用户带来使用的不便。
防火墙不能对绕过防火墙的攻击提供保护,如拨号上网等。
不???对内部威胁提供防护支持。
受性能限制,防火墙对病毒传输保护能力弱。
防火墙对用户不完全透明,可能带来传输延迟、性能瓶颈及单点失效。
防火墙不能有效地防范数据内容驱动式攻击。
作为一种被动的防护手段,防火墙不能自动防范因特网上不断出现的新的威胁和攻击。;在构筑防火墙之前,需要制定一套完整有效的安全战略
网络服务访问策略
一种高层次的具体到事件的策略,主要用于定义在网络中允许或禁止的服务。
防火墙安全规则设计策略
一种是“一切未被允许的就是禁止的”,一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好,但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务,但是在日益增多的网络服务面前,很难为用户提供可靠的安全防护。;常见的防火墙有三种类型:
分组(包)过滤防火墙;
应用代理防火墙;
状态检测防火墙。;分组过滤(Packet Filtering):包过滤;
作用在协议组的网络层和传输层;
根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过;
只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。;应用代理(Application Proxy):也叫应用网关(Application Gateway);
它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
实际中的应用网关通常由专用工作站实现。;状态检测(Status Detection):
直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。;数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。
通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃 ;分组过滤防火墙的工作机制;对每个经过的IP包应用安全规则集合检查,决定是转发或者丢弃该包
过滤包是双向的
过滤规则基于与IP或TCP包头中字段的匹配(如四元组:源IP地址、目的IP地址、源端口、目的端口)
两种缺省策略(丢弃或允许);优点:
简单
对用户透明
高速
缺点:
对于利用特定应用的攻击,防火墙无法防范
配置安全规则比较困难
缺少鉴别,不支持高级用户认证
日志功能有限;IP地址欺骗:丢弃那些从外部接口到达的,但却具有内部IP地址的包
路由选路攻击:丢弃所有设置该选项的包
微小分片攻击:丢弃协议类型是TCP并且IP分片标志为1的分片包;一个可靠的分组过滤防火墙依赖于规则集,表列出了几条典型的规则集。
第一条规则:
您可能关注的文档
- 防溺水安全教育--主题班会讲课教案.ppt
- 防溺水安全教育ppt(1)教学提纲.ppt
- 防溺水安全教育主题班会ppt-ppt课件上课讲义.ppt
- 防溺水安全教育主题班会ppt课件1讲解学习.ppt
- 防溺水安全教育主题班会课件教程文件.ppt
- 防溺水安全教育学习资料.ppt
- 防溺水安全教育课件讲课讲稿.ppt
- 防溺水安全教育资料讲课教案.ppt
- 防溺水家长会课件说课材料.ppt
- 防溺水教育完美版素材讲课稿.ppt
- 统编版(2024)一年级语文上册3 b p m f 课件.pptx
- 人教版二年级上册数学量一量,比一比(课件).pptx
- 人教版六年级上册数学《倒数的认识 》(课件).pptx
- 统编版六年级语文上册6 《狼牙山五壮士》教学课件.pptx
- 统编版语文二年级上册2树之歌 课件 (3).pptx
- 人教版二年级下册数学第3单元《图形的运动(一)》练习(课件).pptx
- 人教版二年级上册数学第2单元 含括号的加减混合运算(课件).pptx
- 人教版三年级上册数学第四单元第1课时 三位数加两、三位数(课件).pptx
- 人教版二年级上册数学角的初步认识(课件).pptx
- 人教版六年级上册数学《圆的认识》(课件).pptx
文档评论(0)