第五章 防火墙技术PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
❖ 防火墙作为一个防止不良现象发生的警 察,能执行和强化网络的安全策略。
01.08.2020
11
计算机信息安全
防火墙的局限性
❖ 没有万能的网络安全技术,防火墙也不例外。防火 墙有以下三方面的局限:
❖ 防火墙不能防范网络内部的攻击。比如:防火墙无 法禁止变节者或内部间谍将敏感数据拷贝到软盘上。
❖ 防火墙也不能防范那些伪装成超级用户或诈称新雇 员的黑客们劝说没有防范心理的用户公开其口令, 并授予其临时的网络访问权限。
❖ 外网和内网连接必须通过代理服务器中转。
❖ 代理服务可以实施用户论证、详细日志等功 能和对具体协议及应用的过滤。
01.08.2020
23
计算机信息安全
❖ 代理服务器有两个部件:一个代理服务 器和一个代理客户。
代理 客户
发送请求 代理 服务器
转发响应
HTTP FTP Telnet …
转发请求 响应请求
❖ 代理服务器:代表内部网络用户与外部服务器进行信 息交换的计算机(软件)系统。
01.08.2020
DMZ
私人网络
防御主机
网络
8
计算机信息安全
为什么需要防火墙?
01.08.2020
9
计算机信息安全
5.1.2 网络防火墙的目的与作用
1. 构建网络防火墙的主要目的 ❖ 限制某些访问者进入一个被严格控制的点。 ❖ 防止进攻者接近防御设备。 ❖ 限制某些访问者离开一个被严格控制的点。 ❖ 检查、筛选、过滤和屏蔽信息流中的有害服务,防
1992年; 第五代防火墙:自适应代理技术,NAI公司,1998年。
01.08.2020
13
计算机信息安全
5.2 防火墙的类型
❖ 尽管防火墙的发展经过了将近20年,但是按照防火 墙对内外来往数据的处理方法,大致可以将防火墙 分为两大体系:
(1)包过滤型;
(2)代理服务器型;
❖ 前者以以色列的Checkpoint防火墙和美国Cisco公司 的PIX防火墙为代表,后者以美国NAI公司的 Gauntlet防火墙为代表。
外部 网络 服务器
01.08.2020
24
计算机信息安全
访问浙江商职院院网
代理服务器 IP地址:192.168.0.1
Internet
(1)主机A发出访问 Web站点的请求;
代
理
服
步骤(2)
务
步骤(1)
器
(2)请求到达代理服 务器,代理服务器 检查防火墙规则集, 检查数据包报头信 息和数据;
主机A
理 服
步骤(2)
务
步骤(1)
器
步骤(6) 发送ICMP消息;
步骤(7)
步骤(8) (8)如果允许该 数据包进入内部
网,代理服务器
将它发给最先发
01.08.2020
出请求的计算机; 28
计算机信息安全
访问浙江商职院院网 (9)数据包到达
步骤(5) Internet
最先发出请求的
计算机,此时数
据包显示来自外
01.08.2020
15
计算机信息安全
2.优缺点 优点:简单、方便、速度快、透明性好, 对网络性能影响不大。 缺点:缺乏用户日志和审计信息,缺乏用 户论证机制,不具备审核管理,且过滤 规则的完备性难以得到检验,复杂过滤 规则的管理也比较困难。
包过滤型防火墙的安全性较差!
01.08.2020
16
计算机信息安全
止对计算机系统进行蓄意破坏。
01.08.2020
卫星发射中心 防火墙
10
计算机信息安全
2.网络防火墙的主要作用
❖ 有效地收集和记录internet上活动和网络 误用情况。
❖ 能有效隔离网络中的多个网段,防止一 个网段的问题传播到另外网段。
❖ 防火墙作为一个安全检查站,能有效地 过滤、筛选和屏蔽大部份有害的信息和 服务。
防火墙 网络
双宿主主机
01.08.2020 服务器
7
计算机信息安全
❖ 包过滤:设备对进出网络的数据流(包)进行有选择 的控制与操作。通常是对从外部网络到内部网络的包 进行过滤。
❖ 参数网络:为了增加一层安全控制,在内部网与外部 网之间增加的一个网络,有时也称为非军事区,即 DMZ(Demilitarized Zone)。
❖ 防火墙不能防止传送己感染病毒的软件或文件,不 能期望防火墙去对每一个文件进行扫描,查出潜在 的病毒。
01.08.2020
12
计算机信息安全
5.2 防火墙的类型
防火墙的演变: 第一代防火墙:包过滤,路由器; 第二代防火墙:(电路层)代理防火墙,NEC公司,
1989年; 第三代防火墙:TIS防火墙套件,美国防部; 第四代防火墙:状态检测技术,USC信息科学院,
计算机信息安全
第一部分 防火墙技术与应用
学习重点:
➢了解网络防火墙是什么,有什么用? ➢掌握包过滤防火墙的规则怎么建立的,
有什么需要注意的地方? ➢掌握代理服务器型防火墙工作的原理及
步骤。
01.08.2020
3
计算机信息安全
5.1 网络防火墙概述
❖ 防火墙:防火墙的本义原是指古代人们房屋 之间修建的墙,这道墙可以防止火灾发生的 时候蔓延到别的房屋。
❖ 操作方式有:转发、丢弃、报错、备忘等。 ❖ 根据不同实现方式,报文过滤可在进入或者
离开防火墙时进行。
01.08.2020
18
计算机信息安全
学习难点
防火墙规则制订实例
❖ 访问要求:
1)网络123.45.0.0/16不愿其他Internet 主机访问其站点;
2)但它的一个子网123.45.6.0/24和某大 学135.79.0.0/16有合作项目,因此允许 该大学访问该子网;
5.2.2 IP级包过滤型防火墙
1. 概述
IP级包过滤又称为动态包过滤,它工作在传 输层,对每一报文根据报头进行过滤,通过预定 义规则对报文进行操作。
规则定义在转发控制表中,因产品不同控制 表格式不同,这里讨论抽象的过滤规则。
01.08.2020
17
计算机信息安全
5.2.2 IP级包过滤型防火墙
❖ 报文遵循自上至下的次序运用每一条规则, 直到遇到与其相匹配的规则为止。
01.08.2020
34
计算机信息安全
❖ 各种防火墙的性能比较
01.08.2020
35
计算机信息安全
5.3.1 防火墙设计的安全要求与准则
1.安全要求 1)应有一定冗余度,避免成为单失效点。 2)能抵抗网络攻击,对网络通信进行监控
和审计。 3)一旦失效,应完全阻断内外网连接。 4)应提供强制认证服务。 5)对内网应屏蔽地址和拓扑结构。
IP地01.址08.:2021092.168.0.3
25
计算机信息安全
访问浙江商职院院网 (3)如果不允许该
Internet
请求发出,代理服
务器拒绝请求,发
送ICMP消息给源主
步骤(4)
代
步骤(3)
理 服
步骤(2)
务
步骤(1)
器
机;
(4)如果允许该请 求发出,代理服务 器修改源IP地址,
创建数据包;
33
计算机信息安全
4 .自适应代理技术
可以根据用户定义的安全策略,动态 适应传送中的分组流量。
如果安全要求较高,则安全检查应在 应用层完成,以保证代理防火墙的最大 安全性;一旦代理明确了会话的所有细 节,其后的数据包就直接到达速度快得 多的网络层。该技术兼备了代理技术的 安全性和其他技术的高效率。
01.08.2020
6
计算机信息安全
5.1.1 网络防火墙基本概念
❖ 主机:与网络系统相连的计算机系统。 ❖ 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又
是内部网络用户的主要连接点。 ❖ 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接
口的计算机系统。 ❖ 包:在互联网上进行通信的基本上信息单位。
HTTP是一个基于TCP的服务,一般使用端口 80,也可使用其他非标准端口,客户机使用任 何大于1023的端口。如果防火墙允许WWW穿 越网络边界,则可定义如下规则。
规则1、规则2允许外部主机访问本站点的WWW服务器,规则3、
01.08.202规0 则4允许内部主机访问外部的WWW服务器。
21
计算机信息安全
步骤(4)
代
步骤(3)
理 服
步骤(2)
务
步骤(1)
器
步骤(6) 步骤(7) 步骤(8) 步骤(9)
部主机而不是代 理服务器。
01.08.2020
29
计算机信息安全
2.优缺点 优点:能完全控制网络信息的交换,控 制会话过程,具有灵活性和安全性。
缺点:可能影响网络的性能,对用户不 透明,且对每一种服务器都要设计一个 代理模块,建立对应的网关层,实现起 来比较复杂。
计算机信息安全
第5章 防火墙技术与NAT
本章内容:
➢防火墙概念及分类
➢包过滤型防火墙
➢代理服务器型防火墙
➢防火墙的设计与创建
➢基于防火墙的安全网络结构
➢VPN技术原理及应用
01.08.2020
1
整体 概述
一 请在这里输入您的主要叙述内容
二
请在这里输入您的主要 叙述内容
三 请在这里输入您的主要叙述内容
32
计算机信息安全
3.应用层网关
使用专用软件转发和过滤特定的应用 服务,是一种代理服务。
它只允许代理的服务通过,即只有那 些被认为“可依赖的”服务才允许通过 防火墙。
有登记、日志、统计和报告等功能, 并有很好的审计功能和严格的用户认证 功能。安全性高,但它要为每种应用提 供专门的代理服务程序。
01.08.2020
01.08.2020
36
把包过滤和代理服务等功能结合起来, 形成新的防火墙结构,所用主机称堡垒 主机,负责代理服务。
混合采用以下几种技术:①动态包过 滤;②内核透明技术;③用户认证机制; ④内容和策略感知能力;⑤内部信息隐 藏;⑥智能日志、审计和实时报警;⑦ 防火墙的交互操作性;⑧将各种安全技 术结合等。
01.08.2020
主机A IP地01.址08.:2021092.168.0.3
那么数据包源IP地址由 192.168.0.3改成192.168.026.1
计算机信息安全
访问浙江商职院院网 (5)代理服务器将数
步骤(5) Internet
据包发给目的计算机, 数据包显示源IP地址
来自代理服务器;
步骤(4)
代
步骤(3)
01.08.2020
14
计算机信息安全
学习重点
5.2.1 包过滤型防火墙
网络层是OSI参考
1.工作原理
模型的第几层?
❖ 包过滤器一般安装在路由器上,工作在网络 层(IP)。
❖ 基于单个包实施网络控制,根据所收到的数 据包的源地址、目的地址等参数与访问控制
表比较来实施信息过滤。
❖ 一般容许内网主机直接访问外网,而外网主 机对内网的访问则要受到限制。
3)然而135.79.99.0/24是黑客天堂,需 要禁止。
01.08.2020
19
计算机信息安全
学习难点
❖ 注意这些规则之间并不是互斥的,因此 要考虑顺序。
3
2
1
进来
进来
➢规内网则顺序安排大原学 则:先特内网殊,后普遍黑客天堂
01.08.2020
出去
出去
20
计算机信息安全
2. 基于协议、端口的规则制定
习题
❖ 编写防火墙规则,要求如下:
禁止除管理员(IP为192.168.20.10)外任何 一台计算机访问某主机(IP为 192.168.20.100)的终端服务(TCP端口 3389)。
01.08.2020
22
计算机信息安全
学习重点
5.2.3 代理服务器型防火墙
1.工作原理
❖ 在防火墙主机上运行代理服务进程,通过该 进程代理用户完成TCP/IP功能。针对不同的 应用均有相应的代理服务。
01.08.2020
4
计算机信息安全
5.1 网络防火墙概述
❖ 网络防火墙 :在可信和不可信网络间设置的 保护装置,用于保护内部资源免遭非法入侵。
Internet 不可信网络
服务器
内部网 可信网络
01.08.2020
5
计算机信息安全
作用: ➢ 防火墙是一种由计算机硬件和软件组成的一个或
一组系统,用于增强内部网络和Internet之间的访 问控制。它可通过监测、限制、更改跨越防火墙的 数据流,尽可能地对外部屏蔽网络内部的信息、结 构和运行状况,以此来实现网络的安全保护。 ➢ 除此以外,防火墙也可以用来实现路由、VPN连接、 负载均衡以及NAT地址转换等。
01.08.2020
30
计算机信息安全
5.2.4 其他类型的防火墙
1.电路层网关
在网络的传输层上实施访问控制策略,是 在内、外网络主机之间建立一个虚拟电路进 行通信。
相当于在防火墙在直接开了个口子进行传 输,不像应用层防火墙那样能严密的控制应 用层的信息。
01.08.2020
31
计算机信息安全
2.混合型防火墙
理 服
步骤(2)
务
步骤(1)
器
01.08.2020
步骤(6)
(6)返回的数据包又
被发送到代理服务
器。服务器再次根
据防火墙规则集检
查数据包报头信息
和数据;
27
计算机信息安全
访问浙江商职院院网 (7)如果不允许
步骤(5) Internet
该数据包进入内
部网,代理服务
器丢弃该数据包,
步骤(4)
代
步骤(3)
01.08.2020
11
计算机信息安全
防火墙的局限性
❖ 没有万能的网络安全技术,防火墙也不例外。防火 墙有以下三方面的局限:
❖ 防火墙不能防范网络内部的攻击。比如:防火墙无 法禁止变节者或内部间谍将敏感数据拷贝到软盘上。
❖ 防火墙也不能防范那些伪装成超级用户或诈称新雇 员的黑客们劝说没有防范心理的用户公开其口令, 并授予其临时的网络访问权限。
❖ 外网和内网连接必须通过代理服务器中转。
❖ 代理服务可以实施用户论证、详细日志等功 能和对具体协议及应用的过滤。
01.08.2020
23
计算机信息安全
❖ 代理服务器有两个部件:一个代理服务 器和一个代理客户。
代理 客户
发送请求 代理 服务器
转发响应
HTTP FTP Telnet …
转发请求 响应请求
❖ 代理服务器:代表内部网络用户与外部服务器进行信 息交换的计算机(软件)系统。
01.08.2020
DMZ
私人网络
防御主机
网络
8
计算机信息安全
为什么需要防火墙?
01.08.2020
9
计算机信息安全
5.1.2 网络防火墙的目的与作用
1. 构建网络防火墙的主要目的 ❖ 限制某些访问者进入一个被严格控制的点。 ❖ 防止进攻者接近防御设备。 ❖ 限制某些访问者离开一个被严格控制的点。 ❖ 检查、筛选、过滤和屏蔽信息流中的有害服务,防
1992年; 第五代防火墙:自适应代理技术,NAI公司,1998年。
01.08.2020
13
计算机信息安全
5.2 防火墙的类型
❖ 尽管防火墙的发展经过了将近20年,但是按照防火 墙对内外来往数据的处理方法,大致可以将防火墙 分为两大体系:
(1)包过滤型;
(2)代理服务器型;
❖ 前者以以色列的Checkpoint防火墙和美国Cisco公司 的PIX防火墙为代表,后者以美国NAI公司的 Gauntlet防火墙为代表。
外部 网络 服务器
01.08.2020
24
计算机信息安全
访问浙江商职院院网
代理服务器 IP地址:192.168.0.1
Internet
(1)主机A发出访问 Web站点的请求;
代
理
服
步骤(2)
务
步骤(1)
器
(2)请求到达代理服 务器,代理服务器 检查防火墙规则集, 检查数据包报头信 息和数据;
主机A
理 服
步骤(2)
务
步骤(1)
器
步骤(6) 发送ICMP消息;
步骤(7)
步骤(8) (8)如果允许该 数据包进入内部
网,代理服务器
将它发给最先发
01.08.2020
出请求的计算机; 28
计算机信息安全
访问浙江商职院院网 (9)数据包到达
步骤(5) Internet
最先发出请求的
计算机,此时数
据包显示来自外
01.08.2020
15
计算机信息安全
2.优缺点 优点:简单、方便、速度快、透明性好, 对网络性能影响不大。 缺点:缺乏用户日志和审计信息,缺乏用 户论证机制,不具备审核管理,且过滤 规则的完备性难以得到检验,复杂过滤 规则的管理也比较困难。
包过滤型防火墙的安全性较差!
01.08.2020
16
计算机信息安全
止对计算机系统进行蓄意破坏。
01.08.2020
卫星发射中心 防火墙
10
计算机信息安全
2.网络防火墙的主要作用
❖ 有效地收集和记录internet上活动和网络 误用情况。
❖ 能有效隔离网络中的多个网段,防止一 个网段的问题传播到另外网段。
❖ 防火墙作为一个安全检查站,能有效地 过滤、筛选和屏蔽大部份有害的信息和 服务。
防火墙 网络
双宿主主机
01.08.2020 服务器
7
计算机信息安全
❖ 包过滤:设备对进出网络的数据流(包)进行有选择 的控制与操作。通常是对从外部网络到内部网络的包 进行过滤。
❖ 参数网络:为了增加一层安全控制,在内部网与外部 网之间增加的一个网络,有时也称为非军事区,即 DMZ(Demilitarized Zone)。
❖ 防火墙不能防止传送己感染病毒的软件或文件,不 能期望防火墙去对每一个文件进行扫描,查出潜在 的病毒。
01.08.2020
12
计算机信息安全
5.2 防火墙的类型
防火墙的演变: 第一代防火墙:包过滤,路由器; 第二代防火墙:(电路层)代理防火墙,NEC公司,
1989年; 第三代防火墙:TIS防火墙套件,美国防部; 第四代防火墙:状态检测技术,USC信息科学院,
计算机信息安全
第一部分 防火墙技术与应用
学习重点:
➢了解网络防火墙是什么,有什么用? ➢掌握包过滤防火墙的规则怎么建立的,
有什么需要注意的地方? ➢掌握代理服务器型防火墙工作的原理及
步骤。
01.08.2020
3
计算机信息安全
5.1 网络防火墙概述
❖ 防火墙:防火墙的本义原是指古代人们房屋 之间修建的墙,这道墙可以防止火灾发生的 时候蔓延到别的房屋。
❖ 操作方式有:转发、丢弃、报错、备忘等。 ❖ 根据不同实现方式,报文过滤可在进入或者
离开防火墙时进行。
01.08.2020
18
计算机信息安全
学习难点
防火墙规则制订实例
❖ 访问要求:
1)网络123.45.0.0/16不愿其他Internet 主机访问其站点;
2)但它的一个子网123.45.6.0/24和某大 学135.79.0.0/16有合作项目,因此允许 该大学访问该子网;
5.2.2 IP级包过滤型防火墙
1. 概述
IP级包过滤又称为动态包过滤,它工作在传 输层,对每一报文根据报头进行过滤,通过预定 义规则对报文进行操作。
规则定义在转发控制表中,因产品不同控制 表格式不同,这里讨论抽象的过滤规则。
01.08.2020
17
计算机信息安全
5.2.2 IP级包过滤型防火墙
❖ 报文遵循自上至下的次序运用每一条规则, 直到遇到与其相匹配的规则为止。
01.08.2020
34
计算机信息安全
❖ 各种防火墙的性能比较
01.08.2020
35
计算机信息安全
5.3.1 防火墙设计的安全要求与准则
1.安全要求 1)应有一定冗余度,避免成为单失效点。 2)能抵抗网络攻击,对网络通信进行监控
和审计。 3)一旦失效,应完全阻断内外网连接。 4)应提供强制认证服务。 5)对内网应屏蔽地址和拓扑结构。
IP地01.址08.:2021092.168.0.3
25
计算机信息安全
访问浙江商职院院网 (3)如果不允许该
Internet
请求发出,代理服
务器拒绝请求,发
送ICMP消息给源主
步骤(4)
代
步骤(3)
理 服
步骤(2)
务
步骤(1)
器
机;
(4)如果允许该请 求发出,代理服务 器修改源IP地址,
创建数据包;
33
计算机信息安全
4 .自适应代理技术
可以根据用户定义的安全策略,动态 适应传送中的分组流量。
如果安全要求较高,则安全检查应在 应用层完成,以保证代理防火墙的最大 安全性;一旦代理明确了会话的所有细 节,其后的数据包就直接到达速度快得 多的网络层。该技术兼备了代理技术的 安全性和其他技术的高效率。
01.08.2020
6
计算机信息安全
5.1.1 网络防火墙基本概念
❖ 主机:与网络系统相连的计算机系统。 ❖ 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又
是内部网络用户的主要连接点。 ❖ 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接
口的计算机系统。 ❖ 包:在互联网上进行通信的基本上信息单位。
HTTP是一个基于TCP的服务,一般使用端口 80,也可使用其他非标准端口,客户机使用任 何大于1023的端口。如果防火墙允许WWW穿 越网络边界,则可定义如下规则。
规则1、规则2允许外部主机访问本站点的WWW服务器,规则3、
01.08.202规0 则4允许内部主机访问外部的WWW服务器。
21
计算机信息安全
步骤(4)
代
步骤(3)
理 服
步骤(2)
务
步骤(1)
器
步骤(6) 步骤(7) 步骤(8) 步骤(9)
部主机而不是代 理服务器。
01.08.2020
29
计算机信息安全
2.优缺点 优点:能完全控制网络信息的交换,控 制会话过程,具有灵活性和安全性。
缺点:可能影响网络的性能,对用户不 透明,且对每一种服务器都要设计一个 代理模块,建立对应的网关层,实现起 来比较复杂。
计算机信息安全
第5章 防火墙技术与NAT
本章内容:
➢防火墙概念及分类
➢包过滤型防火墙
➢代理服务器型防火墙
➢防火墙的设计与创建
➢基于防火墙的安全网络结构
➢VPN技术原理及应用
01.08.2020
1
整体 概述
一 请在这里输入您的主要叙述内容
二
请在这里输入您的主要 叙述内容
三 请在这里输入您的主要叙述内容
32
计算机信息安全
3.应用层网关
使用专用软件转发和过滤特定的应用 服务,是一种代理服务。
它只允许代理的服务通过,即只有那 些被认为“可依赖的”服务才允许通过 防火墙。
有登记、日志、统计和报告等功能, 并有很好的审计功能和严格的用户认证 功能。安全性高,但它要为每种应用提 供专门的代理服务程序。
01.08.2020
01.08.2020
36
把包过滤和代理服务等功能结合起来, 形成新的防火墙结构,所用主机称堡垒 主机,负责代理服务。
混合采用以下几种技术:①动态包过 滤;②内核透明技术;③用户认证机制; ④内容和策略感知能力;⑤内部信息隐 藏;⑥智能日志、审计和实时报警;⑦ 防火墙的交互操作性;⑧将各种安全技 术结合等。
01.08.2020
主机A IP地01.址08.:2021092.168.0.3
那么数据包源IP地址由 192.168.0.3改成192.168.026.1
计算机信息安全
访问浙江商职院院网 (5)代理服务器将数
步骤(5) Internet
据包发给目的计算机, 数据包显示源IP地址
来自代理服务器;
步骤(4)
代
步骤(3)
01.08.2020
14
计算机信息安全
学习重点
5.2.1 包过滤型防火墙
网络层是OSI参考
1.工作原理
模型的第几层?
❖ 包过滤器一般安装在路由器上,工作在网络 层(IP)。
❖ 基于单个包实施网络控制,根据所收到的数 据包的源地址、目的地址等参数与访问控制
表比较来实施信息过滤。
❖ 一般容许内网主机直接访问外网,而外网主 机对内网的访问则要受到限制。
3)然而135.79.99.0/24是黑客天堂,需 要禁止。
01.08.2020
19
计算机信息安全
学习难点
❖ 注意这些规则之间并不是互斥的,因此 要考虑顺序。
3
2
1
进来
进来
➢规内网则顺序安排大原学 则:先特内网殊,后普遍黑客天堂
01.08.2020
出去
出去
20
计算机信息安全
2. 基于协议、端口的规则制定
习题
❖ 编写防火墙规则,要求如下:
禁止除管理员(IP为192.168.20.10)外任何 一台计算机访问某主机(IP为 192.168.20.100)的终端服务(TCP端口 3389)。
01.08.2020
22
计算机信息安全
学习重点
5.2.3 代理服务器型防火墙
1.工作原理
❖ 在防火墙主机上运行代理服务进程,通过该 进程代理用户完成TCP/IP功能。针对不同的 应用均有相应的代理服务。
01.08.2020
4
计算机信息安全
5.1 网络防火墙概述
❖ 网络防火墙 :在可信和不可信网络间设置的 保护装置,用于保护内部资源免遭非法入侵。
Internet 不可信网络
服务器
内部网 可信网络
01.08.2020
5
计算机信息安全
作用: ➢ 防火墙是一种由计算机硬件和软件组成的一个或
一组系统,用于增强内部网络和Internet之间的访 问控制。它可通过监测、限制、更改跨越防火墙的 数据流,尽可能地对外部屏蔽网络内部的信息、结 构和运行状况,以此来实现网络的安全保护。 ➢ 除此以外,防火墙也可以用来实现路由、VPN连接、 负载均衡以及NAT地址转换等。
01.08.2020
30
计算机信息安全
5.2.4 其他类型的防火墙
1.电路层网关
在网络的传输层上实施访问控制策略,是 在内、外网络主机之间建立一个虚拟电路进 行通信。
相当于在防火墙在直接开了个口子进行传 输,不像应用层防火墙那样能严密的控制应 用层的信息。
01.08.2020
31
计算机信息安全
2.混合型防火墙
理 服
步骤(2)
务
步骤(1)
器
01.08.2020
步骤(6)
(6)返回的数据包又
被发送到代理服务
器。服务器再次根
据防火墙规则集检
查数据包报头信息
和数据;
27
计算机信息安全
访问浙江商职院院网 (7)如果不允许
步骤(5) Internet
该数据包进入内
部网,代理服务
器丢弃该数据包,
步骤(4)
代
步骤(3)