防火墙技术及应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《计算机网络安全技术》
3. DMZ DMZ(Demilitarized zone)称为“隔离区” 或“非军事化区”,它是介于信赖域和非信赖 域之间的一个安全区域。
《计算机网络安全技术》
8.2.3 防火墙应用的局限性
1. 防火墙不能防范未通过自身的网络连接 对于有线网络来说,防火墙是进出网络 的唯一节点。但是如果使用无线网络(如 无线局域网),内部用户与外部网络之间 以及外部用户与内部网络之间的通信就会 绕过防火墙,这时防火墙就没有任何用处。
《计算机网络安全技术》
防火墙是实现网络和信息安全的基础 设施,一个高效可靠的防火墙应用具备以下 的基本特性: · 防火墙是不同网络之间,或网络的不 同安全域之间的唯一出入口,从里到外和从 外到里的所有信息都必须通过防火墙; · 通过安全策略来控制不同网络或网络 不同安全域之间的通信,只有本地安全策略 授权的通信才允许通过; · 防火墙本身是免疫的,即防火墙本身 《计算机网络安全技术》 具有较强的抗攻击能力。
《计算机网络安全技术》
2. 防火墙不能防范全部的威胁 防火墙安全策略的制定建立在已知的安 全威胁上,所以防火墙能够防范已知的安全 威胁。 3. 防火墙不能防止感染了病毒的软件或文 件的传输 即使是最先进的数据包过滤技术在病毒 防范上也是不适用的,因为病毒的种类太多, 操作系统多种多样,而且目前的病毒编写技 术很容易将病毒隐藏在数据中。
第8章 防火墙技术及应用
《计算机网络安全技术》
8.1 防火墙技术概述
8.1.1 防火墙的概念 防火墙是指设置在不同网络(如可信 赖的企业内部局域网和不可信赖的公共网 络)之间或网络安全域之间的一系列部件 的组合,通过监测、限制、更改进入不同 网络或不同安全域的数据流,尽可能地对 外部屏蔽网络内部的信息、结构和运行状 况,以防止发生不可预测的、潜在破坏性 的入侵,实现网络的安全保护。
如图8-5所示,当网络管理员在防火墙上设置 了过滤规则后,在防火墙中会形成一个过滤规则 表。当数据包进入防火墙时,防火墙会将IP分组 的头部信息与过滤规则表进行逐条比对,根据比 对结果决定是否允许数据包通过。
《计算机网络安全技术》
图8-5 包过滤防火墙工作示意图
《计算机网络安全技术》
3. 包过滤防火墙的应用特点 包过滤防火墙是一种技术非常成熟、应用非 常广泛的防火墙技术,具有以下的主要特点: (1) 过滤规则表需要事先进行人工设置,规 则表中的条目根据用户的安全要求来定。 (2) 防火墙在进行检查时,首先从过滤规则 表中的第1个条目开始逐条进行,所以过滤规则表 中条目的先后顺序非常重要。 (3)由于包过滤防火墙工作在OSI参考模型 的网络层和传输层,所以包过滤防火墙对通过的 数据包的速度影响不大,实现成本较低。
8.1.2 防火墙的基本功能
1.监控并限制访问 2.控制协议和服务 3.保护内部网络 4.网络地址转换(NAT) 5.虚拟专用网(VPN) 6.日志记录与审计
《计算机网络安全技术》
8.1.3 防火墙的基本原理
所有的防火墙功能的实现都依赖于对 通过防火墙的数据包的相关信息进行检查, 而且检查的项目越多、层次越深,则防火 墙越安全。由于现在计算机网络结构采用 自顶向下的分层模型,而分层的主要依据 是各层的功能划分,不同层次功能的实现 又是通过相关的协议来实现的。所以,防 火墙检查的重点是网络协议及采用相关协 议封装的数据。
《计算机网络安全技术》
4.防火墙不能防范内部用户的恶意破坏 据相关资料统计,目前局域网中有80% 以上的网络破坏行为是由内部用户所为, 如在局域网中窃取其他主机上的数据、对 其他主Байду номын сангаас进行网络攻击、散布计算机病毒 等。这些行为都不通过位于局域网出口处 的防火墙,防火墙对其无能为力。
《计算机网络安全技术》
5. 防火墙本身也存在安全问题 防火墙的工作过程要依赖于防火墙操作 系统,与我们平常所使用的Windows、 Linux等操作系统一样,防火墙操作系统也 存在安全漏洞,而且防火墙的功能越强、 越复杂,其漏洞就会越多 。
《计算机网络安全技术》
8.3 防火墙的基本类型
8.3.1 包过滤防火墙 包过滤防火墙是最早使用的一种防火 墙技术,它在网络的进出口处对通过的数 据包进行检查,并根据已设置的安全策略 决定数据包是否允许通过。 1. IP分组的组成
《计算机网络安全技术》
图8-2 使用防火墙后的网络组成
《计算机网络安全技术》
1. 信赖域和非信赖域 当局域网通过防火墙接入公共网络时, 以防火墙为节点将网络分为内、外两部分, 其中内部的局域网称为信赖域,而外部的 公共网络(如Internet)称为非信赖域。 2. 信赖主机和非信赖主机 位于信赖域中的主机因为具有较高的安 全性,所以称为信赖主机;而位于非信赖 域中的主机因为安全性较低,所以称为非 信赖主机。
《计算机网络安全技术》
8.1.4 防火墙的基本准则
1.所有未被允许的就是禁止的 所有未被允许的就是禁止的,这一准则是指
根据用户的安全管理策略,所有未被允许的通信 禁止通过防火墙。
2.所有未被禁止的就是允许的 所有未被禁止的就是允许的,这一准则是指
根据用户的安全管理策略,防火墙转发所有信息 流,允许所有的用户和站点对内部网络的访问, 然后网络管理员按照IP地址等参数对未授权的用 户或不信任的站点进行逐项屏蔽。
《计算机网络安全技术》
8.2 防火墙的应用
8.2.1 防火墙在网络中的位置 防火墙多应用于一个局域网的出口处 (如图8-1(a)所示)或置于两个网络中间 (如图8-1(b)所示)。
图8-1 防火墙在网络中的位置
《计算机网络安全技术》
8.2.2 使用了防火墙后的网络组成
防火墙是构建可信赖网络域的安全 产品。如图8-2所示,当一个网络在加入了 防火墙后,防火墙将成为不同安全域之间 的一个屏障,原来具有相同安全等级的主 机或区域将会因为防火墙的介入而发生变 化.
《计算机网络安全技术》
《计算机网络安全技术》
2. 包过滤防火墙的工作原理 包过滤(Packet Filter)是在网络层中根据事
先设置的安全访问策略(过滤规则),检查每一 个数据包的源IP地址、目的IP地址以及IP分组头 部的其他各种标志信息(如协议、服务类型等), 确定是否允许该数据包通过防火墙。
3. DMZ DMZ(Demilitarized zone)称为“隔离区” 或“非军事化区”,它是介于信赖域和非信赖 域之间的一个安全区域。
《计算机网络安全技术》
8.2.3 防火墙应用的局限性
1. 防火墙不能防范未通过自身的网络连接 对于有线网络来说,防火墙是进出网络 的唯一节点。但是如果使用无线网络(如 无线局域网),内部用户与外部网络之间 以及外部用户与内部网络之间的通信就会 绕过防火墙,这时防火墙就没有任何用处。
《计算机网络安全技术》
防火墙是实现网络和信息安全的基础 设施,一个高效可靠的防火墙应用具备以下 的基本特性: · 防火墙是不同网络之间,或网络的不 同安全域之间的唯一出入口,从里到外和从 外到里的所有信息都必须通过防火墙; · 通过安全策略来控制不同网络或网络 不同安全域之间的通信,只有本地安全策略 授权的通信才允许通过; · 防火墙本身是免疫的,即防火墙本身 《计算机网络安全技术》 具有较强的抗攻击能力。
《计算机网络安全技术》
2. 防火墙不能防范全部的威胁 防火墙安全策略的制定建立在已知的安 全威胁上,所以防火墙能够防范已知的安全 威胁。 3. 防火墙不能防止感染了病毒的软件或文 件的传输 即使是最先进的数据包过滤技术在病毒 防范上也是不适用的,因为病毒的种类太多, 操作系统多种多样,而且目前的病毒编写技 术很容易将病毒隐藏在数据中。
第8章 防火墙技术及应用
《计算机网络安全技术》
8.1 防火墙技术概述
8.1.1 防火墙的概念 防火墙是指设置在不同网络(如可信 赖的企业内部局域网和不可信赖的公共网 络)之间或网络安全域之间的一系列部件 的组合,通过监测、限制、更改进入不同 网络或不同安全域的数据流,尽可能地对 外部屏蔽网络内部的信息、结构和运行状 况,以防止发生不可预测的、潜在破坏性 的入侵,实现网络的安全保护。
如图8-5所示,当网络管理员在防火墙上设置 了过滤规则后,在防火墙中会形成一个过滤规则 表。当数据包进入防火墙时,防火墙会将IP分组 的头部信息与过滤规则表进行逐条比对,根据比 对结果决定是否允许数据包通过。
《计算机网络安全技术》
图8-5 包过滤防火墙工作示意图
《计算机网络安全技术》
3. 包过滤防火墙的应用特点 包过滤防火墙是一种技术非常成熟、应用非 常广泛的防火墙技术,具有以下的主要特点: (1) 过滤规则表需要事先进行人工设置,规 则表中的条目根据用户的安全要求来定。 (2) 防火墙在进行检查时,首先从过滤规则 表中的第1个条目开始逐条进行,所以过滤规则表 中条目的先后顺序非常重要。 (3)由于包过滤防火墙工作在OSI参考模型 的网络层和传输层,所以包过滤防火墙对通过的 数据包的速度影响不大,实现成本较低。
8.1.2 防火墙的基本功能
1.监控并限制访问 2.控制协议和服务 3.保护内部网络 4.网络地址转换(NAT) 5.虚拟专用网(VPN) 6.日志记录与审计
《计算机网络安全技术》
8.1.3 防火墙的基本原理
所有的防火墙功能的实现都依赖于对 通过防火墙的数据包的相关信息进行检查, 而且检查的项目越多、层次越深,则防火 墙越安全。由于现在计算机网络结构采用 自顶向下的分层模型,而分层的主要依据 是各层的功能划分,不同层次功能的实现 又是通过相关的协议来实现的。所以,防 火墙检查的重点是网络协议及采用相关协 议封装的数据。
《计算机网络安全技术》
4.防火墙不能防范内部用户的恶意破坏 据相关资料统计,目前局域网中有80% 以上的网络破坏行为是由内部用户所为, 如在局域网中窃取其他主机上的数据、对 其他主Байду номын сангаас进行网络攻击、散布计算机病毒 等。这些行为都不通过位于局域网出口处 的防火墙,防火墙对其无能为力。
《计算机网络安全技术》
5. 防火墙本身也存在安全问题 防火墙的工作过程要依赖于防火墙操作 系统,与我们平常所使用的Windows、 Linux等操作系统一样,防火墙操作系统也 存在安全漏洞,而且防火墙的功能越强、 越复杂,其漏洞就会越多 。
《计算机网络安全技术》
8.3 防火墙的基本类型
8.3.1 包过滤防火墙 包过滤防火墙是最早使用的一种防火 墙技术,它在网络的进出口处对通过的数 据包进行检查,并根据已设置的安全策略 决定数据包是否允许通过。 1. IP分组的组成
《计算机网络安全技术》
图8-2 使用防火墙后的网络组成
《计算机网络安全技术》
1. 信赖域和非信赖域 当局域网通过防火墙接入公共网络时, 以防火墙为节点将网络分为内、外两部分, 其中内部的局域网称为信赖域,而外部的 公共网络(如Internet)称为非信赖域。 2. 信赖主机和非信赖主机 位于信赖域中的主机因为具有较高的安 全性,所以称为信赖主机;而位于非信赖 域中的主机因为安全性较低,所以称为非 信赖主机。
《计算机网络安全技术》
8.1.4 防火墙的基本准则
1.所有未被允许的就是禁止的 所有未被允许的就是禁止的,这一准则是指
根据用户的安全管理策略,所有未被允许的通信 禁止通过防火墙。
2.所有未被禁止的就是允许的 所有未被禁止的就是允许的,这一准则是指
根据用户的安全管理策略,防火墙转发所有信息 流,允许所有的用户和站点对内部网络的访问, 然后网络管理员按照IP地址等参数对未授权的用 户或不信任的站点进行逐项屏蔽。
《计算机网络安全技术》
8.2 防火墙的应用
8.2.1 防火墙在网络中的位置 防火墙多应用于一个局域网的出口处 (如图8-1(a)所示)或置于两个网络中间 (如图8-1(b)所示)。
图8-1 防火墙在网络中的位置
《计算机网络安全技术》
8.2.2 使用了防火墙后的网络组成
防火墙是构建可信赖网络域的安全 产品。如图8-2所示,当一个网络在加入了 防火墙后,防火墙将成为不同安全域之间 的一个屏障,原来具有相同安全等级的主 机或区域将会因为防火墙的介入而发生变 化.
《计算机网络安全技术》
《计算机网络安全技术》
2. 包过滤防火墙的工作原理 包过滤(Packet Filter)是在网络层中根据事
先设置的安全访问策略(过滤规则),检查每一 个数据包的源IP地址、目的IP地址以及IP分组头 部的其他各种标志信息(如协议、服务类型等), 确定是否允许该数据包通过防火墙。