防火墙的基本概念n
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天津电子信息职业技术学院
暨国家示范性软件职业技术学院
网络管理与安全实训报告
课设题目:网络管理与安全实训
姓名:
系别:网络技术系
专业:计算机网络技术
班级:
指导教师:
设计时间:2011年6月13日至2011年6月24日
目录
一、防火墙的基本概念 (1)
二、防火墙的基本分类 (1)
1、包过滤防火墙 (1)
2、动态检测防火墙 (1)
3、应用程序代理防火墙 (2)
4、NAT (2)
5、个人防火墙 (2)
三、防火墙的基本功能 (3)
(1)包过滤技术 (3)
(2)代理技术 (4)
(3)状态监视技术 (4)
四、防火墙的安全构建 (5)
1、基本准则 (5)
2、安全策略 (5)
3、构建费用 (5)
五、网络安全的防范 (6)
1、提高安全意识 (6)
2、使用防毒、防黑等防火墙软件 (6)
3、设置代理服务器,隐藏自己的IP (7)
4、将防毒、防黑当成日常惯性工作 (7)
5、提高警惕 (7)
6、备份资料 (7)
7、加强网络安全的人为管理 (7)
七、参考文献 (8)
摘要
Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题——网络安全。网络的安全性成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于新型高科技产物,许多的人对此还并不是十分了解,本文讲述了防火墙的功能、工作方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
[关键词]防火墙网络安全
一、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的基本分类
目前的防火墙产品主要有包过滤路由器、状态/动态检测防火墙、应用层网关(代理服务器)、NAT、个人防火墙等类型。
1、包过滤防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那有害的包
2、动态检测防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那有害的包
3、应用程序代理防火墙
第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那有害的包
4、NAT
讨论到防火墙的主题,就一定要提到有一种路由器,尽管从技术上讲它根本不是防火墙。网络地址转换(NAT)协议将内部网络的多个IP地址转换到一个公共地址发到Internet 上。NAT经常用于小型办公室、家庭等网络,多个用户分享单一的IP地址,并为Internet 连接提供一些安全机制。
5、个人防火墙
现在网络上流传着很多的个人防火墙软件,它是应用程序级的。个人防火墙是一种能够保护个人计算机系统安全的软件,它可以直接在用户的计算机上运行,使用与状态/动态检测防火墙相同的方式,保护一台计算机免受攻击。通常,这些防火墙是安装在计算机网络接口的较低级别上,使得它们可以监视传入传出网卡的所有网络通信。
图2-5-1局域网拓扑图
三、防火墙的基本功能
目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:
(1)包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。
缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。