防火墙【共57张PPT】精品文档.pptVIP

基于应用程序信息验证一个包状态的能力防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。在决定能否及如何传送数据包之外，还根据其规则集，看是否应该传送该数据包屏蔽内网用户与外网的直接通信，提供更严格的检查内部和外部间所有数据必须通过防火墙隐藏内部IP地址信息。Setinternal=192.掌握防火墙的规则配置方法M-N，多个内部网地址翻译到N个IP地址池外部应用程序却不能方便地与NAT网关后面的应用程序联系。入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断，使数据包绕过用户定义的过滤规则。对所有规则内允许的应用程序作中转转发代理型防火墙：应用代理型代理型防火墙：电路代理型多数电路级网关都是基于TCP端口配置，不对数据包检测，可能会有漏洞动态包过滤防火墙使用动态包过滤制定的规则Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany动态包过滤的优缺点优点：基于应用程序信息验证一个包状态的能力记录通过的每个包的详细信息缺点：造成网络连接的迟滞系统资源要求较高防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT允许任何访问，除非规则特别地禁止有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。可以具有强大的日志审核；对所有规则内允许的应用程序作中转转发3）外部路由器：在理论上，外部路由器保护周边网和内部网使之免受来自Internet的侵犯。内部和外部间所有数据必须通过防火墙周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。记录通过的每个包的详细信息我们称这种对包头内容进行简单过滤的方式为静态包过滤周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络。Denyipfromnot$internaltoanyinviaeth1对所有规则内允许的应用程序作中转转发开放应用服务程序的漏洞；按规则过滤：检查包头信息，与过滤规则匹配，决定是否转发该数据包知道什么是应该和不应被允许，制定安全策略代理服务技术代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。应用代理防火墙工作在应用层对所有规则内允许的应用程序作中转转发牺牲了对应用程序的透明性应用代理防火墙应用代理防火墙应用代理应用代理工作原理示意缓冲文件应用请求回复应用请求回复应用代理防火墙应用代理服务器的安全性屏蔽内网用户与外网的直接通信，提供更严格的检查提供对协议的控制，拒绝所有没有配置的连接提供用户级控制，可近一步提供身份认证等信息应用代理的优缺点优点：可以隐藏内部网络的信息；可以具有强大的日志审核；可以实现内容的过滤；缺点：价格高速度慢失效时造成网络的瘫痪防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT电路级代理电路级代理因此可以同时为不同的服务，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在传输层。应用代理应用代理工作在应用层，对于不同的服务，必须使用不同的代理软件。应用代理内部主机WEB服务FTP服务WEBFTP防火墙防火墙本章要求了解防火墙的定义、发展历史、目的、功能、局限性等掌握包过滤、应用代理、电路级代理和NAT代理等工作原理、技术特点和实现方式；掌握防火墙的规则配置方法熟悉防火墙的常见体系结构本节主要内容一、防火墙概述二、防火墙技术分析三、防火墙部署建筑业中的防火墙建筑业中的防火墙用在建筑单位间，防止火势的蔓延。IT领域中的防火墙在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Interne