原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
《计算机网络安全技术》(第4版)
工业和信息化“十三五”高职高专人才培养规划教材
第5章
防火墙技术
人民邮电出版社
能力
CAPACITY
要求
了解防火墙的定义、功能、局限性和发展历程。
理解单机版防火墙和网络版防火墙、以及软件防火墙和硬件防火墙的区别。
掌握现有防火墙的三种核心技术(三种不同技术类型的防火墙)的基本原理和优缺点。
能够熟练使用各种常用的防火墙(安装、参数设置、规则配置等)。
了解防火墙的各种性能指标。
防火墙的分类
防火墙概述
防火墙的实现技术原理
防火墙的应用实验
防火墙的性能、功能指标
一、防火墙概述
防火墙的定义
防火墙的功能和局限性
防火墙的发展简史
一、防火墙概述
访问控制***
对网络存取和访问进行监控审计
支持VPN功能
支持网络地址转换
……
防火墙的功能
一、防火墙概述
防火墙的发展历史
防火墙的分类
防火墙概述
防火墙的实现技术原理
防火墙的应用实验
防火墙的性能、功能指标
二、防火墙的分类
防火墙的分类
软件防火墙
硬件防火墙
按形态分类
按保护对象分类
保护整个网络
保护单台主机
网络防火墙
单机防火墙
二、防火墙的分类
操作系统平台
安全性
性能
稳定性
网络适应性
分发
升级
成本
硬件防火墙
基于精简专用OS
高
高
较高
强
不易
较容易
Price=firewall+Server
软件防火墙
基于庞大通用OS
较高
较高
高
较强
非常容易
容易
Price=Firewall
硬件防火墙软件防火墙
二、防火墙的分类
防火墙的体系结构
2.被屏蔽主机体系结构
二、防火墙的分类
DMZ区常规访问控制策略
1、内部网络可以访问DMZ,方便用户使用和管理DMZ中的服务器。
2、外部网络可以访问DMZ中的服务器,同时需要由防火墙完成对外地址到服务器实际地址的转换。
3、DMZ不能访问内部网络。
4、DMZ不能访问外部网络。此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外部网络,否则将不能正常工作。
二、防火墙的分类
通用CPU
在百兆防火墙时代,防火墙厂商普遍采用的是通用CPU,比如:Intelx86,AMD的CPU
特点:1.开发难度小、周期短;灵活、升级方便。
2.数据处理能力低。
二、防火墙的分类
专用集成电路(ASIC)
ASIC防火墙通过专门设计的ASIC芯片进行硬件加速处理。
特点:
1、处理能力强,防火墙的性能高。
2、开发费用高、周期长,一般耗时接近2年。
3、灵活性和扩展性差,几乎不可能升级;
二、防火墙的分类
多核架构防火墙
多核处理器,是在同一个硅晶片上集成了多个独立物理核心。多个核心协同处理工作,所以性能倍增。
特点:1、数据处理能力高。
2、灵活、升级方便。
目前的千兆、万兆防火墙基本都是多核架构防火墙。
防火墙的分类
防火墙概述
防火墙的实现技术原理
防火墙的应用实验
防火墙的性能、功能指标
三、防火墙的实现技术原理
防火墙实现技术原理
三、防火墙的实现技术原理
1.简单包过滤防火墙(Packetfiltering)
数据包过滤技术的发展:静态包过滤、动态包过滤。
包过滤防火墙在网络层实现数据的转发,包过滤模块一般检查网络层、传输层内容,包括下面几项:
①源、目的IP地址;
②源、目的端口号;
③协议类型;
④TCP报头的标志位。
简单包过滤防火墙的工作原理1
三、防火墙的实现技术原理
应用实例
【问题】
动态包过滤防火墙如何解决了特殊构造了标志位的数据包?但是还是无法阻挡反弹端口的木马。
1.
规则
连接表
SYN
ACK
SYN
2.
允许
允许
n.
……
三、防火墙的实现技术原理
动态包过滤防火墙的工作流程
三、防火墙的实现技术原理
状态检测防火墙-UDP
防火墙保存通过网关的每一个连接的状态信息,允许穿过防火墙的UDP请求包被记录,当UDP包在相反方向上通过时,依据连接状态表确定该UDP包是否被授权的,若已被授权,则通过,否则拒绝。
三、防火墙的实现技术原理
代理防火墙的工作原理
三、防火墙的实现技术原理
代理服务器的类型
HTTP代理:代理客户机的http访问,主要代理浏览器访问网页,它的端口一般为80、8080、3128等。
FTP代理:代理客户机上的ftp软件访问ftp服务器,其端口一般为21、2121。
POP3代理:代理客户机上的邮件软件用pop3方式收邮件,其端口一般为110。
Telnet代理:能够代理通信机的telnet,用于远程控制,入侵时经常使用。其端口一般为23。
Socks代理:是全能代理,支持多种
您可能关注的文档
最近下载
- 广东医科大学2020年第一学期护理专业《医患沟通与技巧》期末考试试卷.docx VIP
- 云南农业大学2020-2021大数据技术及应用期末考试.docx VIP
- 期末综合练习卷 2024-2025学年统编版语文七年级下册.docx VIP
- 面向制造和装配的设计(DFMA)检查表.xls VIP
- 金厂沟梁金矿重叠论证报告(矿山修).docx VIP
- 国开《管理英语3》机考真题第4套.docx VIP
- 1.3.1细胞通过分裂产生新细胞课件2025-2026学年人教版生物七年级上册.pptx VIP
- 华南师范大学 开放学院2020级金融专业 期末考试 《经济法基础》.docx VIP
- 设备供货方案.docx VIP
- 5.1 走近老师 课件-2025-2026学年统编版道德与法治七年级上册.pptx VIP
文档评论(0)