网站大量收购独家精品文档,联系QQ:2885784924

网络安全技术及应用 第5版 课件 Ch8 防火墙常用技术.pptx

网络安全技术及应用 第5版 课件 Ch8 防火墙常用技术.pptx

  1. 1、本文档共53页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
“十三五”国家重点出版规划 项目,上海市高校优秀教材奖;目 录;目 录;8.1.1 防火墙的概念和功能 。;8.1.1 防火墙的概念和功能 防火墙(firewall)是一种隔离内部、外部网络之间的监控系统,通过执行访问控制策略保护网络安全的资源。用于隔离内部、外部网络,是内、外部网络通信的唯一途径,能够根据制定的访问规则对流经它的信息进行监控和审查,从而保护内部网络不受外界的非法访问和攻击。网络防火墙的结构如图8-1所示。;;2. 防火墙的主要功能 实际上,防火墙其实是一个分离器、限制器或分析器,它能够有效监控内部网络和外部网络之间的所有活动,主要功能如下: (1)建立一个集中的监视点。 (2)隔绝内、外网络威胁,保护内部网络。 (3)强化网络安全策略。 (4)有效记录和审计内、外网络之间的活动。;3 防火墙的特性 (1)安全、成熟、国际领???的特性。 (2)具有专有的硬件平台和操作系统平台。 (3)采用高性能的全状态检测(Stateful Inspection)技术 (4)具有优异的管理功能,提供优异的GUI管理界面。 (5)支持多种用户认证类型和多种认证机制。 (6)需要支持用户分组,并支持分组认证和授权。 (7)支持内容过滤。 (8)支持动态和静态地址翻译(NAT)。 (9)支持高可用性,单台防火墙故障不能影响系统运行。 ;3 防火墙的特性 (10)支持本地管理和远程管理。 (11)支持日志管理和对日志的统计分析。 (12)实时告警功能,在不影响性能的情况下,支持较大数量的连接数。 (13)在保持足够的性能指标的前提下,能够提供尽量丰富的功能。 (14)可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯。 (15)支持在线升级。 (16)支持虚拟防火墙及对其资源限制等功能。 (17)防火墙能够与入侵检测系统互动。; 4 防火墙的主要缺陷 (1)不能防范不经由防火墙的攻击。 (2)防火墙是一种被动安全策略执行设备,即对于新的未知攻击或策略配置有误,无能为力。 (3)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙允许某些标准网络协议,就不能防止利用协议缺陷的攻击。 (4)防火墙不能防止利用服务器系统漏洞进行的攻击。;4 防火墙的主要缺点 (5)防火墙不能防止数据驱动式的攻击。 (6)防火墙无法保证准许服务的安全性。 (7)防火墙不能防止本身的安全漏洞威胁。 (8)不能防止感染了病毒的软件或文件的传输。 此外,防火墙在性能上不具备实时监控入侵的能力,其功能与速度成反比。防火墙的功能越多,对CPU和内存的消耗越大,速度越慢。管理上,人为因素对防火墙安全的影响也很大。因此,仅仅依靠现有的防火墙技术,是远远不够的。; 以防火墙的软硬件形式分类 1.软件防火墙 运行于特定的计算机上, 需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。 2.硬件防火墙 是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。 3.芯片级防火墙 基于专门的硬件平台,没有操作系统。 专有的ASIC芯片促使它们比其他种类的 防火墙速度更快,处理能力更强,性能更高。 ; 以防火墙的技术分类 按照防火墙的技术分类,分为包过滤型和应用代理型 1.包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。其网络结构如图8-2所示。 ; 整个防火墙技术发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”. (1)第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的,根据定义好的过滤规则审查每个数据包,以便确定其是否与某条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP目标端口、ICMP消息类型等.其数据通路如图8-3。 ;(2)第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一

文档评论(0)

balala11 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档