《计算机网络技术》Windows网络服务器假设-任务6-2.pdfVIP

网络安全防护 任务6-2 防火墙的安装与配置 引例描述 龙华校园网通信网络和资源平台搭建已经进入尾声，部分测试工作 也已经开展，小张以为项目没有什么工作了，徐工却提醒他，还有 一块很重要的工作——网络安全防护，需要完成。此时小张的实习 任务已经可以完成了，项目组刘经理也没有要求徐工对小张的工作 做进一步安排。但小张早就听说过网络黑客的传奇事迹，很是好奇， 请求徐工再带一带他。徐工给小张介绍了网络安全中的加密解密、 公钥体系、数字签名、数字证书等方面的知识，以及系统漏洞扫描、 防火墙配置等技能，并告诉他黑客行为是不可取的，掌握网络安全 技术是为了更好的维护网络，而不是去做非法或违背道德的事情。 征得刘经理同意之后，徐工安排小张参与了网站安全防护和防火墙 安全配置的任务。如图6-1所示。 6.5 防火墙 • 网络系统中，每一个设备都有其本职功 能 •如二层交换机主要是接入和二层交换功 能，路由器主要是路由功能，服务器主 要是提供各类应用服务等 •这些设备本身具备一定的安全防护功能， 但也仅限于围绕其本职功能提供 • 因此，鉴于网络系统规模越大，安全管 理越复杂，需要专门的安全设备为网络 提供安全保护，防火墙便是网络安全领 域具有代表性的设备。 6.5 防火墙 ——防火墙的分类 •根据ATT公司William Cheswick和Steven Bellovin在1994年对防火墙的定义，防火 墙是指放在两个网之间的一个组件和系 统的聚集体，如图6-12所示 6.5 防火墙 ——防火墙的分类 • 防火墙的工作原理如下： •在内部网和外部网之间建立一条隔离墙， 检查进入内部网络的信息是否允许通过、 外出的信息是否允许出去或是否允许用 户的服务请求，从而阻止对内部网络的 非法访问和非授权用户的出入 6.5 防火墙 ——防火墙的分类 •根据防火墙所采用技术的不同，可以分为三 种基本类型：包过滤型、代理型和监测型 • 1. 包过滤型 •包过滤型的技术依据是网络中分包传输技术。 网络上的数据都是以“包”为单位进行传输 的，数据被分割成为一定大小的数据包，每 一个数据包中都包含诸如数据源地址、目标 地址、TCP或UDP源端口地址和目标地址等特 定信息。 • 防火墙就是通过读取数据包中的地址信息并 通过与系统管理员制定的规则表对比，来判 断这些“包”是否来自可信任的安全站点， 并自动将来自危险站点的数据拒之门外。 6.5 防火墙 ——防火墙的分类 •2. 代理型 • 防火墙可以称为代理服务器，又叫应用 网关，是当前防火墙产品的主流趋势。 代理服务器通常由两部分组成，一是服 务器端程序，二是客户端程序，客户端 程序与中间节点连接，中间节点再与要 访问的外部服务器实际连接。 •代理服务器位于客户机与服务器之间， 完全阻挡了二者间的数据交流。 •对客户机来说，代理服务器相当于一台 真正的服务器。 •对服务器来说，代理服务器又相当于一 台真正的客户机。 6.5 防火墙