网络安全与管理课程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.3 防火墙体系结构
8.3.1 双重宿主主机结构 8.3.2 屏蔽主机结构 8.3.3 屏蔽子网结构 8.3.4 防火墙的组合结构
8.3.1 双重宿主主机结构
双重宿主主机结构是围绕双宿主机来构筑的。 双宿主机(Dual-homed host),又称堡垒主机
(Bastion host),是一台至少配有两个网络接 口的主机,它可以充当与这些接口相连的网络 之间的路由器,在网络之间发送数据包。 一般情况下双宿主机的路由功能是被禁止的, 这样可以隔离内部网络与外部网络之间的直接 通信,从而达到保护内部网络的作用。
8.1.1 相关概念
防火墙安全策略 一个防火墙应该使用以下两种基本策略中的一种:
除非明确允许,否则就禁止 除非明确禁止,否则就允许
8.1.2 防火墙的作用
防火墙的基本功能
从总体上看,防火墙应具有以下基本功能: 可以限制未授权用户进入内部网络,过滤掉不安全服务
和非法用户; 防止入侵者接近内部网络的防御设施,对网络攻击进行
8.2.2 代理技术
所谓代理服务器,是指代表内网用户向外网服务器进行 连接请求的服务程序。
代理服务器运行在两个网络之间,它对于客户机来说像 是一台真的服务器,而对于外网的服务器来说,它又是 一台客户机。
代理服务器的基本工作过程是:当客户机需要使用外网 服务器上的数据时,首先将请求发给代理服务器,代理 服务器再根据这一请求向服务器索取数据,然后再由代 理服务器将数据传输给客户机。
检测和告警; 限制内部用户访问特殊站点; 记录通过防火墙的信息内容和活动,监视Internet安全
提供方便。
8.1.3 防火墙的优、缺点
1.优点 防火墙是加强网络安全的一种有效手段,
它有以下优点:
防火墙能强化安全策略; 防火墙能有效地记录Internet上的活动; 防火墙是一个安全策略的检查站。
8.2.2 代理技术
代理防火墙的发展阶段:
应用层代理(Application Proxy) 电路层代理(Circuit Proxy) 自适应代理(Adaptive Proxy)
8.2.3 防火墙技术的发展趋势
代理服务器在对应用层的数据过滤方面能力优于包 过滤防火墙,但是在性能方面的表现就会大大逊色。 总体来说,传统的防火墙已经无法满足人们的安全需 求,其功能不足以应付众多的安全威胁。 发展趋势: 功能融合 集成化管理 分布式体系结构
8.2.2 代理技术
代理的优点
代理易于配置 代理能生成各项记录 代理能灵活、完全地控制进出信息 代理能过滤数据内容
8.2.2 代理技术
代理的缺点:
代理速度比路由器慢 代理对用户不透明 对于每项服务,代理可能要求不同的服务器 代理服务通常要求对客户或过程进行限制 代理服务受协议弱点的限制 代理不能改进底层协议的安全性
防火墙的概念 防火墙(Firewall)是指隔离在内部网络与外部网络之间的一
道防御系统,它能挡住来自外部网络的攻击和入侵,保障着内 部网络的安全。
8.1.1 相关概念
其它概念:
外部网络(外网) 内部网络(内网) 非军事化区(DMZ) 包过滤 代理服务器 状态检测技术 虚拟专用网(VPN) 漏洞 数据驱动攻击 IP地址欺骗
8.2 防火墙技术分类
8.2.1 包过滤技术 8.2.2 代理技术 8.2.3 防火墙技术的发展趋势
8.2.1 包过滤技术
包过滤(Packet Filtering)技术在网络层中对数据 包实施有选择的通过,依据系统事先设定好的过滤规 则,检查数据流中的每个包,根据包头信息来确定是 否允许数据包通过,拒绝发送可疑的包。
8.1.3 防火墙的优、缺点
2.缺点 有人认为只要安装了防火墙,所有的安全问题就
会迎刃而解。但事实上,防火墙并不是万能的,安装 了防火墙的系统仍然存在着安全隐患。以下是防火墙 的一些缺点:
不能防范恶意的内部用户; 不能防范不通过防火墙的连接; 不能防范全部的威胁; 防火墙不能防范病毒;
8.3.1 双重宿主主机结构
双重宿主主机结构
8.3.2 屏蔽主机结构
屏蔽主机结构(Screened Host Gateway),又称主机过 滤结构。
屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能 的屏蔽路由器;
屏蔽路由器连接外部网络,堡垒主机安装在内部网络上 ;
通常在路由器上设立过滤规则,并使这个堡垒主机成为 从外部网络唯一可直接到达的主机;
可信任的、外部用户是可疑的
8.2.1 包过滤技术
包过滤防火墙的发展阶段
第一代:静态包过滤防火墙 第二代:动态包过滤(Dynamic Packet Filter)防火墙 第三代:全状态检测(Stateful Inspection)防火墙 第四代:深度包检测(Deep Packet Inspection)防火墙
入侵者要想入侵内部网络,必须过屏蔽路由器和堡垒主 机两道屏障,所以屏蔽主机结构比双重宿主主机结构具 有更好的安全性和可用性。
8.3.2 屏蔽主机结构
屏蔽主机结构
8.3.3 屏蔽子网结构
屏蔽子网结构(Screened Subnet),它是在 屏蔽主机结构的基础上添加额外的安全层,即 通过添加周边网络(即屏蔽子网)更进一步地 把内部网络与外部网络隔离开。
网络安全与管理课程
单击此处编辑母版标题样式
单击此处编辑母版副标题样式
本章学习目标
防火墙及相关概念 包过滤与代理 防火墙的体系结构 分布式防火墙与嵌入式防火墙
8.1 防火墙概述
8.1.1 相关概念 8.1.2 防火墙的作用 8.1.3 防火墙的优、缺点
8.1.1 相关概念
8.2.1 包过滤技术
包百度文库滤防火墙具有明显的优点:
一个屏蔽路由器能保护整个网络 包过滤对用户透明 屏蔽路由器速度快、效率高
8.2.1 包过滤技术
包过滤防火墙的缺点:
它没有用户的使用记录,这样就不能从访问记录中 发现黑客的攻击记录
没有一定的经验,是不可能将过滤规则配置得完美 不能在用户级别上进行过滤,只能认为内部用户是