防火墻技术_
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第四章 防火墙技术
防火墙技术 内容提要: 内容提要:
防火墙概述 防火墙概述 防火墙的体系结构 数据包过滤防火墙 代理防火墙 防火墙应用举例
第四章 防火墙技术
1.1 概述 防火墙的定义 防火墙是位于被保护网络和外 部网络之间执行访问控制策略的一 个或一组系统,包括硬件和软件, 个或一组系统,包括硬件和软件, 构成一道屏障, 构成一道屏障,以防止发生对被保 护网络的不可预测的、 护网络的不可预测的、潜在破坏性 的侵扰。 的侵扰。
第四章 防火墙技术
包过滤系统能进行以下情况的操作: 包过滤系统能进行以下情况的操作:
登录; (1)不让任何用户从外部网用 )不让任何用户从外部网用Telnet登录; 登录 往内部网发电子邮件; (2)允许任何用户使用 )允许任何用户使用SMTP往内部网发电子邮件; 往内部网发电子邮件 往内部网发新闻。 (3)只允许某台机器通过 )只允许某台机器通过NNTP往内部网发新闻。 往内部网发新闻
第四章 防火墙技术
应用层网关型防火墙
应层 用 传层 输 因网 特层 网接层 络口 应层 用 传层 输 因网 特层 网接层 络口 应层 用 传层 输 因网 特层 网接层 络口
应用层网关防火墙
第四章 防火墙技术
应用层网关型防火墙
传统代理型防火墙; 传统代理型防火墙; 核心技术就是代理服务器技术; 核心技术就是代理服务器技术; 基于软件实现, 基于软件实现 , 通常安装在专用工作站系统 上; 参与到一个TCP连接的全过程; 连接的全过程; 参与到一个 连接的全过程 在网络应用层上建立协议过滤和转发功能; 在网络应用层上建立协议过滤和转发功能; 优点就是安全, 是内部网与外部网的隔离点; 优点就是安全 , 是内部网与外部网的隔离点 ; 最大缺点就是速度相对比较慢。 最大缺点就是速度相对比较慢。
第四章 防火墙技术
1.6 防火墙体系结构的组合形式
(1)使用多堡垒主机; )使用多堡垒主机; (2)合并内部路由器与外部路由器; )合并内部路由器与外部路由器; (3)合并堡垒主机与外部路由器; )合并堡垒主机与外部路由器; (4)合并堡垒主机与内部路由器; )合并堡垒主机与内部路由器; (5)使用多台内部路由器; )使用多台内部路由器; (6)使用多台外部路由器; )使用多台外部路由器; (7)使用多个周边网络; )使用多个周边网络; (8)使用双重宿主主机与屏蔽子网。 )使用双重宿主主机与屏蔽子网。
第四章 防火墙技术
外部网络
防火墙
路由器
内部网络
。。。 工作站 工作站 工作站
堡垒主机
内部主机
屏蔽主机体系结构
第四章 防火墙技术
1.5 屏蔽子网体系结构
外 部 网 络
外 部 路 由 器
周 边 网 络 堡 垒 主 机
防 火 墙
内 部 路 由 器
内 部 网 络
。 。 。 内 部 主 机 工 作 站 工 作 站 工 作 站
第四章 防火墙技术
3.内部路由器 . 保护内部的网络使之免受外部网和周边网的侵 犯 , 内部路由器完成防火墙的大部分数据包过滤工 作。 4.外部路由器 . 保护周边网和内部网使之免受来自外部网络的 侵犯,通常只执行非常少的数据包过滤。 侵犯,通常只执行非常少的数据包过滤。 外部路由器一般由外界提供。 外部路由器一般由外界提供。
第四章 防火墙技术
包过滤防火墙的缺陷
(1)不能彻底防止地址欺骗。 )不能彻底防止地址欺骗。 (2)无法执行某些安全策略 ) 3) (3)安全性较差 (4)一些应用协议不适合于数据包过滤 ) (5)管理功能弱 )
第四章 防火墙技术
1.8 应用代理防火墙
代理防火墙( 代理防火墙 ( Proxy)是一种较新型的防火 ) 墙技术,它分为: 电路层网关。 墙技术,它分为:应用层网关 电路层网关。 所谓代理服务器, 所谓代理服务器,是指代表客户处理连接请 求的程序。 求的程序。当代理服务器得到一个客户的连接意 图时,它将核实客户请求, 图时,它将核实客户请求,并用特定的安全化的 Proxy应用程序来处理连接请求,将处理后的请 应用程序来处理连接请求, 应用程序来处理连接请求 求传递到真实的服务器上,然后接受服务器应答, 求传递到真实的服务器上,然后接受服务器应答, 并做进一步处理后, 并做进一步处理后,将答复交给发出请求的最终 客户。 客户。
第四章 防火墙技术
1.周边网络 .
周边网络是另一个安全层, 周边网络是另一个安全层,是在外部网络与被保护的 内部网络之间的附加网络, 内部网络之间的附加网络,提供一个附加的保护层防止内 部信息流的暴露 .
2.堡垒主机 .
堡垒主机为内部网络服务的功能有: 堡垒主机为内部网络服务的功能有: (1)接收外来的电子邮件(SMTP),再分发给相应的 )接收外来的电子邮件( ) 站点; 站点; 连接, (2)接收外来的 )接收外来的FTP连接,再转接到内部网的匿名 连接 再转接到内部网的匿名FTP 服务器; 服务器; ( 3) 接收外来的对有关内部网站点的域名服务 ( DNS) ) 接收外来的对有关内部网站点的域名服务( ) 查询。 查询。
第四章 防火墙技术
1.2 防火墙体系结构
防火墙可以在OSI七层中的五层设置。 七层中的五层设置。 防火墙可以在 七层中的五层设置
防火墙组成结构图
第四章 防火墙技术
防火墙的体系结构目前,防火墙 Nhomakorabea体系结构一般有以下几种: 目前,防火墙的体系结构一般有以下几种: (1)双重宿主主机体系结构; )双重宿主主机体系结构; (2)屏蔽主机体系结构; )屏蔽主机体系结构; (3)屏蔽子网体系结构。 )屏蔽子网体系结构。
第四章 防火墙技术
数据包过滤的主要依据有: 数据包过滤的主要依据有:
(1)数据包的源地址; )数据包的源地址; (2)数据包的目的地址; )数据包的目的地址; 3 ) 数据包的协议类型( TCP、UDP、 ( 3) 数据包的协议类型 ( TCP、UDP、ICMP 等); 的源端口; (4)TCP或UDP的源端口; ) 或 的源端口 (5)TCP或UDP的目的端口; ) 或 的目的端口; 的目的端口 消息类型; (6)ICMP消息类型; ) 消息类型
第四章 防火墙技术
包过滤路由器的配置时要注意的问题
(l)协议的双向性。 )协议的双向性。 (2)“往内”与“往外”的含义。 ) 往内” 往外”的含义。 默认拒绝” (3)“默认允许”与“默认拒绝”。 ) 默认允许”
注意: 注意
(1)过滤规则的排列顺序是非常重要的。 过滤规则的排列顺序是非常重要的。 (2)应该遵循自动防止故障的原理:未明确表 应该遵循自动防止故障的原理: 示允许的便被禁止。 示允许的便被禁止。
第四章 防火墙技术
1.3 双重宿主主机体系结构
围绕具有双重宿主的主机计算机而构筑; 围绕具有双重宿主的主机计算机而构筑; 计算机至少有两个网络接口; 计算机至少有两个网络接口; 计算机充当与这些接口相连的网络之间的路 由器; 由器; 防火墙内部的系统能与双重宿主主机通信; 防火墙内部的系统能与双重宿主主机通信; 防火墙外部的系统(在因特网上) 防火墙外部的系统(在因特网上)能与双重 宿主主机通信。 宿主主机通信。
(1)包过滤标准必须由包过滤设备端口存储起来,这些包 )包过滤标准必须由包过滤设备端口存储起来, 过滤标准叫包过滤规则。 过滤标准叫包过滤规则。 (2)当包到达端口时,对包的报头进行语法分析,大部分 )当包到达端口时,对包的报头进行语法分析, 的包过滤设备只检查IP、 报头中的字段, 的包过滤设备只检查 、TCP或UDP报头中的字段, 不检 或 报头中的字段 查数据的内容。 查数据的内容。 (3)包过滤器规则以特殊的方式存储。 )包过滤器规则以特殊的方式存储。 (4)如果一条规则阻止包传输或接收,此包便不允许通过。 )如果一条规则阻止包传输或接收,此包便不允许通过。 (5)如果一条规则允许包传输或接收,该包可以继续处理。 )如果一条规则允许包传输或接收,该包可以继续处理。 (6)如果一个包不满足任何一条规则,该包被丢弃。 )如果一个包不满足任何一条规则,该包被丢弃。
第四章 防火墙技术
真 实 服 务 器
外 部 网 络
转 发 请 求 代 理 服 务 器 请 求 转 发 响 应 应 用 协 议 分 析
响 应
代 理 客 户 机
内 部 网 络
真 实 的 客 户 端
代理的工作方式
第四章 防火墙技术
代理防火墙工作于应用层; 代理防火墙工作于应用层; 针对特定的应用层协议; 针对特定的应用层协议; 代理服务器( 代理服务器(Proxy Server)作为内部网 ) 络客户端的服务器, 拦截住所有请求, 络客户端的服务器 , 拦截住所有请求 , 也向 客户端转发响应; 客户端转发响应; 代理客户机( 代理客户机(Proxy Client)负责代表内 ) 部客户端向外部服务器发出请求, 部客户端向外部服务器发出请求,当然也向 代理服务器转发响应; 代理服务器转发响应;
第四章 防火墙技术
防火墙的要点: 防火墙的要点: 防火墙配置在不同网络或网络安全 域之间,它遵循的是一种允许或阻止业务 来往的网络通信安全机制,只允许授权 的通信,尽可能地对外部屏蔽网络内部 的信息、结构和运行状况
第四章 防火墙技术
防火墙的发展简史
第一代防火墙——采用了包过滤( Packet filter)技术 。 采用了包过滤( 第一代防火墙 采用了包过滤 ) 技术。 第二代防火墙——电路层防火墙 电路层防火墙 第二代防火墙 第三代防火墙——应用层防火墙 ( 代理防火墙 ) 的初步 应用层防火墙( 代理防火墙) 第三代防火墙 应用层防火墙 结构 第四代防火墙——1992年,基于动态包过滤 (Dynamic packet filter)技术 ) 第五代防火墙——自适应代理(Adaptive proxy)技术 自适应代理( 第五代防火墙 自适应代理 )
不能进行以下情况的操作: 不能进行以下情况的操作:
( 1) 允许某个用户从外部网用 ) 允许某个用户从外部网用Telnet登录而不允许 登录而不允许 其他用户进行这种操作。 其他用户进行这种操作。 ( 2) 允许用户传送一些文件而不允许用户传送其他 ) 文件。 文件。
第四章 防火墙技术
包过滤器操作
第四章 防火墙技术
堡垒主机向外的服务功能按以下方法实施: 堡垒主机向外的服务功能按以下方法实施: ( 1) 在路由器上设置数据包过滤来允许内部的 ) 客户端直接访问外部的服务器。 客户端直接访问外部的服务器。 ( 2) 设置代理服务器在堡垒主机上运行 , 允许 ) 设置代理服务器在堡垒主机上运行, 内部网的用户间接地访问外部网的服务器。 内部网的用户间接地访问外部网的服务器。也可 以设置数据包过滤, 以设置数据包过滤,允许内部网的用户与堡垒主 机上的代理服务器进行交互, 机上的代理服务器进行交互,但是禁止内部网的 用户直接与外部网进行通信。 用户直接与外部网进行通信。
第四章 防火墙技术
1.7 包过滤防火墙
包过滤防火墙工作在网络层 利用访问控制列表( 利用访问控制列表(ACL)对数据包进行过滤 ) 过滤依据是TCP/IP数据包: 过滤依据是TCP/IP数据包: 数据包
源地址和目的地址 源端口和目的端口
优点是效率比较高, 优点是效率比较高,对用户透明 缺点是难于配置、 监控和管理, 缺点是难于配置 、 监控和管理 , 无法有效地区 分同一IP IP地址的不同用户 分同一IP地址的不同用户
第四章 防火墙技术
外部网络
防火墙
双重宿主主机
内部网络
。。。 内部主机 工作站 工作站 工作站
双重宿主主机体系结构
第四章 防火墙技术
1.4 屏蔽主机体系结构
提供安全保护的堡垒主机仅仅与被保护的内部 网络相连; 网络相连; 是外部网络上的主机连接内部网络的桥梁; 是外部网络上的主机连接内部网络的桥梁; 堡垒主机需要拥有高等级的安全; 堡垒主机需要拥有高等级的安全; 还使用一个单独的过滤路由器来提供主要安全; 还使用一个单独的过滤路由器来提供主要安全 ; 路由器中有数据包过滤策略。 路由器中有数据包过滤策略。
第四章 防火墙技术
防火墙的五大基本功能 五大基本功能
过滤进、出网络的数据; 过滤进、出网络的数据; 管理进、出网络的访问行为; 管理进、出网络的访问行为; 封堵某些禁止的业务; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动; 记录通过防火墙的信息内容和活动; 对网络攻击的检测和告警。 对网络攻击的检测和告警。
防火墙技术 内容提要: 内容提要:
防火墙概述 防火墙概述 防火墙的体系结构 数据包过滤防火墙 代理防火墙 防火墙应用举例
第四章 防火墙技术
1.1 概述 防火墙的定义 防火墙是位于被保护网络和外 部网络之间执行访问控制策略的一 个或一组系统,包括硬件和软件, 个或一组系统,包括硬件和软件, 构成一道屏障, 构成一道屏障,以防止发生对被保 护网络的不可预测的、 护网络的不可预测的、潜在破坏性 的侵扰。 的侵扰。
第四章 防火墙技术
包过滤系统能进行以下情况的操作: 包过滤系统能进行以下情况的操作:
登录; (1)不让任何用户从外部网用 )不让任何用户从外部网用Telnet登录; 登录 往内部网发电子邮件; (2)允许任何用户使用 )允许任何用户使用SMTP往内部网发电子邮件; 往内部网发电子邮件 往内部网发新闻。 (3)只允许某台机器通过 )只允许某台机器通过NNTP往内部网发新闻。 往内部网发新闻
第四章 防火墙技术
应用层网关型防火墙
应层 用 传层 输 因网 特层 网接层 络口 应层 用 传层 输 因网 特层 网接层 络口 应层 用 传层 输 因网 特层 网接层 络口
应用层网关防火墙
第四章 防火墙技术
应用层网关型防火墙
传统代理型防火墙; 传统代理型防火墙; 核心技术就是代理服务器技术; 核心技术就是代理服务器技术; 基于软件实现, 基于软件实现 , 通常安装在专用工作站系统 上; 参与到一个TCP连接的全过程; 连接的全过程; 参与到一个 连接的全过程 在网络应用层上建立协议过滤和转发功能; 在网络应用层上建立协议过滤和转发功能; 优点就是安全, 是内部网与外部网的隔离点; 优点就是安全 , 是内部网与外部网的隔离点 ; 最大缺点就是速度相对比较慢。 最大缺点就是速度相对比较慢。
第四章 防火墙技术
1.6 防火墙体系结构的组合形式
(1)使用多堡垒主机; )使用多堡垒主机; (2)合并内部路由器与外部路由器; )合并内部路由器与外部路由器; (3)合并堡垒主机与外部路由器; )合并堡垒主机与外部路由器; (4)合并堡垒主机与内部路由器; )合并堡垒主机与内部路由器; (5)使用多台内部路由器; )使用多台内部路由器; (6)使用多台外部路由器; )使用多台外部路由器; (7)使用多个周边网络; )使用多个周边网络; (8)使用双重宿主主机与屏蔽子网。 )使用双重宿主主机与屏蔽子网。
第四章 防火墙技术
外部网络
防火墙
路由器
内部网络
。。。 工作站 工作站 工作站
堡垒主机
内部主机
屏蔽主机体系结构
第四章 防火墙技术
1.5 屏蔽子网体系结构
外 部 网 络
外 部 路 由 器
周 边 网 络 堡 垒 主 机
防 火 墙
内 部 路 由 器
内 部 网 络
。 。 。 内 部 主 机 工 作 站 工 作 站 工 作 站
第四章 防火墙技术
3.内部路由器 . 保护内部的网络使之免受外部网和周边网的侵 犯 , 内部路由器完成防火墙的大部分数据包过滤工 作。 4.外部路由器 . 保护周边网和内部网使之免受来自外部网络的 侵犯,通常只执行非常少的数据包过滤。 侵犯,通常只执行非常少的数据包过滤。 外部路由器一般由外界提供。 外部路由器一般由外界提供。
第四章 防火墙技术
包过滤防火墙的缺陷
(1)不能彻底防止地址欺骗。 )不能彻底防止地址欺骗。 (2)无法执行某些安全策略 ) 3) (3)安全性较差 (4)一些应用协议不适合于数据包过滤 ) (5)管理功能弱 )
第四章 防火墙技术
1.8 应用代理防火墙
代理防火墙( 代理防火墙 ( Proxy)是一种较新型的防火 ) 墙技术,它分为: 电路层网关。 墙技术,它分为:应用层网关 电路层网关。 所谓代理服务器, 所谓代理服务器,是指代表客户处理连接请 求的程序。 求的程序。当代理服务器得到一个客户的连接意 图时,它将核实客户请求, 图时,它将核实客户请求,并用特定的安全化的 Proxy应用程序来处理连接请求,将处理后的请 应用程序来处理连接请求, 应用程序来处理连接请求 求传递到真实的服务器上,然后接受服务器应答, 求传递到真实的服务器上,然后接受服务器应答, 并做进一步处理后, 并做进一步处理后,将答复交给发出请求的最终 客户。 客户。
第四章 防火墙技术
1.周边网络 .
周边网络是另一个安全层, 周边网络是另一个安全层,是在外部网络与被保护的 内部网络之间的附加网络, 内部网络之间的附加网络,提供一个附加的保护层防止内 部信息流的暴露 .
2.堡垒主机 .
堡垒主机为内部网络服务的功能有: 堡垒主机为内部网络服务的功能有: (1)接收外来的电子邮件(SMTP),再分发给相应的 )接收外来的电子邮件( ) 站点; 站点; 连接, (2)接收外来的 )接收外来的FTP连接,再转接到内部网的匿名 连接 再转接到内部网的匿名FTP 服务器; 服务器; ( 3) 接收外来的对有关内部网站点的域名服务 ( DNS) ) 接收外来的对有关内部网站点的域名服务( ) 查询。 查询。
第四章 防火墙技术
1.2 防火墙体系结构
防火墙可以在OSI七层中的五层设置。 七层中的五层设置。 防火墙可以在 七层中的五层设置
防火墙组成结构图
第四章 防火墙技术
防火墙的体系结构目前,防火墙 Nhomakorabea体系结构一般有以下几种: 目前,防火墙的体系结构一般有以下几种: (1)双重宿主主机体系结构; )双重宿主主机体系结构; (2)屏蔽主机体系结构; )屏蔽主机体系结构; (3)屏蔽子网体系结构。 )屏蔽子网体系结构。
第四章 防火墙技术
数据包过滤的主要依据有: 数据包过滤的主要依据有:
(1)数据包的源地址; )数据包的源地址; (2)数据包的目的地址; )数据包的目的地址; 3 ) 数据包的协议类型( TCP、UDP、 ( 3) 数据包的协议类型 ( TCP、UDP、ICMP 等); 的源端口; (4)TCP或UDP的源端口; ) 或 的源端口 (5)TCP或UDP的目的端口; ) 或 的目的端口; 的目的端口 消息类型; (6)ICMP消息类型; ) 消息类型
第四章 防火墙技术
包过滤路由器的配置时要注意的问题
(l)协议的双向性。 )协议的双向性。 (2)“往内”与“往外”的含义。 ) 往内” 往外”的含义。 默认拒绝” (3)“默认允许”与“默认拒绝”。 ) 默认允许”
注意: 注意
(1)过滤规则的排列顺序是非常重要的。 过滤规则的排列顺序是非常重要的。 (2)应该遵循自动防止故障的原理:未明确表 应该遵循自动防止故障的原理: 示允许的便被禁止。 示允许的便被禁止。
第四章 防火墙技术
1.3 双重宿主主机体系结构
围绕具有双重宿主的主机计算机而构筑; 围绕具有双重宿主的主机计算机而构筑; 计算机至少有两个网络接口; 计算机至少有两个网络接口; 计算机充当与这些接口相连的网络之间的路 由器; 由器; 防火墙内部的系统能与双重宿主主机通信; 防火墙内部的系统能与双重宿主主机通信; 防火墙外部的系统(在因特网上) 防火墙外部的系统(在因特网上)能与双重 宿主主机通信。 宿主主机通信。
(1)包过滤标准必须由包过滤设备端口存储起来,这些包 )包过滤标准必须由包过滤设备端口存储起来, 过滤标准叫包过滤规则。 过滤标准叫包过滤规则。 (2)当包到达端口时,对包的报头进行语法分析,大部分 )当包到达端口时,对包的报头进行语法分析, 的包过滤设备只检查IP、 报头中的字段, 的包过滤设备只检查 、TCP或UDP报头中的字段, 不检 或 报头中的字段 查数据的内容。 查数据的内容。 (3)包过滤器规则以特殊的方式存储。 )包过滤器规则以特殊的方式存储。 (4)如果一条规则阻止包传输或接收,此包便不允许通过。 )如果一条规则阻止包传输或接收,此包便不允许通过。 (5)如果一条规则允许包传输或接收,该包可以继续处理。 )如果一条规则允许包传输或接收,该包可以继续处理。 (6)如果一个包不满足任何一条规则,该包被丢弃。 )如果一个包不满足任何一条规则,该包被丢弃。
第四章 防火墙技术
真 实 服 务 器
外 部 网 络
转 发 请 求 代 理 服 务 器 请 求 转 发 响 应 应 用 协 议 分 析
响 应
代 理 客 户 机
内 部 网 络
真 实 的 客 户 端
代理的工作方式
第四章 防火墙技术
代理防火墙工作于应用层; 代理防火墙工作于应用层; 针对特定的应用层协议; 针对特定的应用层协议; 代理服务器( 代理服务器(Proxy Server)作为内部网 ) 络客户端的服务器, 拦截住所有请求, 络客户端的服务器 , 拦截住所有请求 , 也向 客户端转发响应; 客户端转发响应; 代理客户机( 代理客户机(Proxy Client)负责代表内 ) 部客户端向外部服务器发出请求, 部客户端向外部服务器发出请求,当然也向 代理服务器转发响应; 代理服务器转发响应;
第四章 防火墙技术
防火墙的要点: 防火墙的要点: 防火墙配置在不同网络或网络安全 域之间,它遵循的是一种允许或阻止业务 来往的网络通信安全机制,只允许授权 的通信,尽可能地对外部屏蔽网络内部 的信息、结构和运行状况
第四章 防火墙技术
防火墙的发展简史
第一代防火墙——采用了包过滤( Packet filter)技术 。 采用了包过滤( 第一代防火墙 采用了包过滤 ) 技术。 第二代防火墙——电路层防火墙 电路层防火墙 第二代防火墙 第三代防火墙——应用层防火墙 ( 代理防火墙 ) 的初步 应用层防火墙( 代理防火墙) 第三代防火墙 应用层防火墙 结构 第四代防火墙——1992年,基于动态包过滤 (Dynamic packet filter)技术 ) 第五代防火墙——自适应代理(Adaptive proxy)技术 自适应代理( 第五代防火墙 自适应代理 )
不能进行以下情况的操作: 不能进行以下情况的操作:
( 1) 允许某个用户从外部网用 ) 允许某个用户从外部网用Telnet登录而不允许 登录而不允许 其他用户进行这种操作。 其他用户进行这种操作。 ( 2) 允许用户传送一些文件而不允许用户传送其他 ) 文件。 文件。
第四章 防火墙技术
包过滤器操作
第四章 防火墙技术
堡垒主机向外的服务功能按以下方法实施: 堡垒主机向外的服务功能按以下方法实施: ( 1) 在路由器上设置数据包过滤来允许内部的 ) 客户端直接访问外部的服务器。 客户端直接访问外部的服务器。 ( 2) 设置代理服务器在堡垒主机上运行 , 允许 ) 设置代理服务器在堡垒主机上运行, 内部网的用户间接地访问外部网的服务器。 内部网的用户间接地访问外部网的服务器。也可 以设置数据包过滤, 以设置数据包过滤,允许内部网的用户与堡垒主 机上的代理服务器进行交互, 机上的代理服务器进行交互,但是禁止内部网的 用户直接与外部网进行通信。 用户直接与外部网进行通信。
第四章 防火墙技术
1.7 包过滤防火墙
包过滤防火墙工作在网络层 利用访问控制列表( 利用访问控制列表(ACL)对数据包进行过滤 ) 过滤依据是TCP/IP数据包: 过滤依据是TCP/IP数据包: 数据包
源地址和目的地址 源端口和目的端口
优点是效率比较高, 优点是效率比较高,对用户透明 缺点是难于配置、 监控和管理, 缺点是难于配置 、 监控和管理 , 无法有效地区 分同一IP IP地址的不同用户 分同一IP地址的不同用户
第四章 防火墙技术
外部网络
防火墙
双重宿主主机
内部网络
。。。 内部主机 工作站 工作站 工作站
双重宿主主机体系结构
第四章 防火墙技术
1.4 屏蔽主机体系结构
提供安全保护的堡垒主机仅仅与被保护的内部 网络相连; 网络相连; 是外部网络上的主机连接内部网络的桥梁; 是外部网络上的主机连接内部网络的桥梁; 堡垒主机需要拥有高等级的安全; 堡垒主机需要拥有高等级的安全; 还使用一个单独的过滤路由器来提供主要安全; 还使用一个单独的过滤路由器来提供主要安全 ; 路由器中有数据包过滤策略。 路由器中有数据包过滤策略。
第四章 防火墙技术
防火墙的五大基本功能 五大基本功能
过滤进、出网络的数据; 过滤进、出网络的数据; 管理进、出网络的访问行为; 管理进、出网络的访问行为; 封堵某些禁止的业务; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动; 记录通过防火墙的信息内容和活动; 对网络攻击的检测和告警。 对网络攻击的检测和告警。