您的位置:360文档中心› 信息安全原理与技术ch09-防火墙

信息安全原理与技术ch09-防火墙

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Interne t
堡垒主机
工作站 工作站 工作站 服务器 内部网络
2021/2/17
Ch9-防火墙
24
9.3.2屏蔽主机防火墙
Interne t
路由器 堡垒主机
工作站 工作站 工作站
服务器
内部网络
2021/2/17
Ch9-防火墙
25
谢谢大家!
–防火墙不能防止感染了病毒的软件或文件的 传输
–防火墙不能防止数据驱动式攻击,表面无害的 数据被驱动发起攻击。
–不能修复脆弱的管理措施和存在问题的安全 策略
2021/2/17
Ch9-防火墙
13
9.1.3 防火墙的分类
• 根据物理特性分类 – 软件防火墙:运行在系统网络接口设备与系统
网络驱动程序接口之间。会占用系统资源。 – 硬件防火墙:专用的硬件平台和相关的软件。
基于该规则,防火墙逐项屏蔽被禁止的服务,而 转发所有其它信息流。这种方法可以提供一种更为 灵活的应用环境,可为用户提供更多的服务。但却 很难提供可靠的安全防护,特别是当网络服务日益 增多或受保护的网络范围增大时。
2021/2/17
Ch9-防火墙
7
典型的防火墙具有的基本特性 • 内部网络和外部网络之间的所有
• 从实现技术上分类 –数据包过滤技术 –代理服务
2021/2/17
Ch9-防火墙
15
• 数据包过滤在网络层,根据IP的首部信息制 定的过滤规则对数据包进行选择。通常结 合路由器实现,但不对数据进行核查,过 滤规则较复杂,不易配置包过滤规则。
• 代理服务工作在应用层,介于外部的客户 与内部的服务器之间。对外部客户发起的 服务请求和内部的服务器返回的应答信息 进行检查。每一种应用服务根据需要赢设 置安全代理。
TCP层,仅仅提供TCP连接的转发而不提供任何其它的报文处
理和过滤。
TCP层
IP层
Interfaces
客户
安全网络
2021/2/17
Ch9-防火墙
服务器
不安全网络
22
9.3 防火墙的体系结构
• 双宿主机防火墙结构 • 屏蔽主机防火墙结构 • 屏蔽子网防火墙结构
2021/2/17
Ch9-防火墙
23
9.3.1 双宿主机防火墙
18
• 数据包过滤用设置了过滤规则的路由器 来实现。路由器收到一个数据包,从包 的首部提取信息,例如IP地址、端口号 和协议号等,再根据过滤规则决定是否 通过该数据包。
• 静态包过滤根据事先定义好的规则对数 据包进行过滤。
• 动态包过滤采用包状态监测技术,对每 一个建立的连接进行跟踪,根据需要动 态地更新过滤规则。
图9.1防火墙示意图
防火墙的两条基本规则
• 一切未被允许的就是禁止的。 基于该规则,防火墙应封锁所有信息流,然后
对希望提供的服务逐项开放,即只允许符合开放规 则的信息进出。这种方法非常实用,可以造成一种 十分安全的环境,因为所能使用的服务范围受到了 严格的限制,只有特定的被选中的服务才被允许使 用。但这就使得用户使用的方便性受到了影响。 • 一切未被禁止的就是允许的。
2021/2/17
Ch9-防火墙
19
9.2.2 应用级网关(代理服务器)
• 应用级网关(代理服务器) 应用级网关提供两个网络间传输的高水平的控
制,即能对特定应用服务内容进行监控和提供基于 网络安全策略的过滤。
客户机
应用级网关
服务器代理
客户代理
服务器
服务器 安全网络
客户代理
服务器代理
客户机 不安全网络
• 从结构上分类 – 单一主机防火墙:基于单独的硬件设备的防火
墙。 – 路由集成式防火墙:将防火墙的功能嵌入路由
器。 – 分布式防火墙:防火墙不仅位于网络边界,在
网络的每台主机都可以部署。
2021/2/17
Ch9-防火墙
14
• 按工作位置分类 –边界防火墙 –个人防火墙 –混合防火墙
• 按防火墙性能分类 –百兆级防火墙 –千兆级防火墙
2021/2/17
Ch9-防火墙
16
9.2 防火墙技术
• 数据包过滤技术 –静态包过滤 –动态包过滤
• 代理服务 –应用级网关 –电路级网关
2021/2/17
Ch9-防火墙
17
9.2.1 数据包过滤
Internet 包过滤路由器
2021/2/17
工作站 工作站 工作站 服务器
内部网络
Ch9-防火墙
• 5.向外发布信息
• 防火墙既可以形成内部安全屏障,也可以 部署WWW服务器,提供对外访问。
2021/2/17
Ch9-防火墙
12
• 防火墙的局限性
–防火墙不能防范不经由防火墙的攻击和威胁
–不能防御已经授权的访问,以及存在于网络 内部系统间的攻击,不能防御合法用户恶意 的攻击以及社交攻击等非预期的威胁
2021/2/17
Ch9-防火墙
9
• 1.集中的安全管理
• 防火墙允许网络管理员定义一个中心来防 止非法用户进入网络,禁止不安全的因素 进出网络,并抗击外部攻击。防火墙定义 的安全规则适用于整个内部网络,无需为 每台内部主机配置安全策略,可以简化网 络安全管理,提高网络的安全性。
2021/2/17
2021/2/17
Ch9-防火墙Biblioteka Baidu
20
例:FTP代理服务器
安全数 据库
FTP客户 安全网络
2021/2/17
FTP 代理 端口2021 TCP/UDP IP/ICMP Interfaces
Ch9-防火墙
FTP代 理规则 IP过滤 规则
FTP服务器 不安全网络
21
9.2.3 电路级网关
• 电路级网关是一个通用代理服务器,工作在TCP/IP协议的
网络数据流都必须经过防火墙。 • 只有符合安全策略的数据流才能
通过防火墙。 • 防火墙自身应具有非常强的抗攻
击免疫力。
2021/2/17
Ch9-防火墙
8
9.1.2 防火墙的作用及局限性
• 防火墙的作用 –集中的安全管理 –安全警报 –重新部署网络地址转换(NAT) –审计和记录网络的访问及使用情况 –向外发布信息
Ch9-防火墙
10
• 2.安全警报 • 防火墙监视网络通信并产生报警信号。
• 3.重新部署网络地址转换(NAT) • 防火墙使用NAT技术完成内部私有IP地址到
外部注册IP地址的转换,可以节约IP地址 空间。
2021/2/17
Ch9-防火墙
11
• 4.审计和记录网络的访问及使用情况
• 由于所有的网络访问都经过防火墙,防火 墙是审计和记录网络访问和使用情况的最 佳地点。
相关文档
最新文档