防火墙基础知识PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
--
18
一个Telnet应用代理的过程
用户首先Telnet到应用网关主机,并输入内部
目标主机的名字(域名、IP地址)
应用网关检查用户的源IP地址等,并根据事
先设定的访问规则来决定是否转发或拒绝
然后用户必须进行是否验证(如一次一密等
高级认证设备)
应用网关中的代理服务器为用户建立在网关
与内部主机之间的Telnet连接
5.可以连接到一个单独的网段上,从物理 上和内部网段隔开,并在此部署WWW服务 器和FTP服务器,将其作为向外部发布内部 信息的地点。从技术角度来讲,就是所谓 的停火区(DMZ)。
--
6
防火墙的优点
• 强化安全策略 • 有效地记录Internet上的活动 • 限制暴露用户点(隔离不同网络,限制安全问题扩
--
10
包过滤防火墙工作示意图
--
11
设置实例
--
12
包过滤优缺点
优点:
•简单 •较强的透明性 •过滤路由器速度快,效率高。
--
13
包过滤优缺点
缺点:
• 配置基于包过滤方式的防火墙,需要对IP、TCP、
UDP、ICMP等各种协议有深入的了解,否则容 易出现因配置不当带来的问题;
• 过滤判别的只有网络层和传输层的有限信息,因
散)
• 是一个安全策略的检查站 • 产生安全报警
--
7
防火墙的不足
• 防火墙并非万能,防火墙的缺点:
– 源于内部的攻击
– 不能防范恶意的知情者和不经心的用户
– 不能防范不通过防火墙的连接
– 不能直接抵御恶意程序(由于病毒的种类 繁多,如果要在防火墙完成对所有病毒 代码的检查,防火墙的效率就会降到不 能忍受的程度。)
防火墙是对黑客防范最严格,安全性也比 较强的一种方式。
下图为一个典型防火墙系统
非信任网络
Internet --
防火墙
信任网络
3
防火墙相关术语
主机:连接到网络的计算机系统
堡垒主机:一个连接内部网络又对外部网络暴 露的计算机系统,它的特性导致它容易被入侵。
周边网络:为了增加一层安全控制,在外网系 统和内网系统之间增加的一个网络。周边网络有 时也称为DMZ(非军事区,得名于分隔朝鲜北方 和南方的地区)
防火墙技术
防火墙的概念
防火墙是指隔离在本地网络与外界网络系统之 间的防御系统,是这一类防范措施的总称。应该 说,在互联网上防火墙是一种非常有效的网络安 全模型,通过它可以隔离风险区域(即Internet 或有一定风险的网络)与安全区域(局域网)的连接 ,同时不会妨碍人们对风 险区域的访问。
--
2
防火墙的概念
--
16
应用级网关防火墙工作示意图
--
17
应用级网关防火墙的特点
应用网关代理的优点是易于配置,界面友好; 不允许内外网主机的直接连接;可以提供比包过 滤更详细的日志记录,例如在一个HTTP连接中, 包过滤只能记录单个的数据包,无法记录文件名、 URL等信息;可以隐藏内部IP地址;可以给单 个用户授权;可以为用户提供透明的加密机制; 可以与认证、授权等安全手段方便的集成。代理 技术的缺点是:代理速度比包过滤慢;代理对用 户不透明,给用户的使用带来不便,而且这种代 理技术需要针对每种协议设置一个不同的代理服 务器。
代理服务器:代表内部网络和外部服务器进行
信息交换的程序。它将被认可的内部用户的请求
送到外部服务器,并将外部服务器的响应送回给
用户。
--
4
防火墙的基本功能
• 防火墙系统可以决定外界可以访问那些内
部服务,以及内部人员可以访问哪些外部服 务.
防火墙有以下的功能:
1.允许网络管理员定义一个中心点来 防止非法用户进入内部网络。
常需求与合法服务 (2)每一个没有明确拒绝的都允许
很少考虑,因为这样的防火墙可能带来许多风险 和安全问题。攻击者完全可以使用一种拒绝策略中 没有定义的服务而被允许并攻击网络
--百度文库
21
防火墙的分类
从使用技术上分
• 包过滤技术 • 代理服务技术 • 状态检测技术
从实现形式分
• 软件防火墙 • 硬件防火墙 • 芯片级防火墙
代理服务器在两个连接(用户/应用网关,代
理服务器/内部主机)之间传送数据
应用网关对本次连接进行日志记录
--
19
状态检测包过滤技术
启动一个监测程序对网络进行监控,当出现网 络攻击时立即告警或切断相关连接。
用于安全性非常高的网络系统,消耗内存大。
--
20
防火墙的设计
防火墙的安全策略
(1)每一个没有明确允许的都被拒绝 常用,但操作困难,并有可能拒绝网络用户的正
--
8
防火墙的主要技术
•包过滤技术 •代理服务技术 •主动检测技术
--
9
包过滤技术
包过滤事实上基于路由器的技术,由路由器的 对IP包进行选择,允许或拒绝该数据包通过。
为了过滤,必须要制定一些过滤规则(访问 控制表),过滤的根据有(只考虑IP包): ✓ 源、目的IP地址 ✓ 源、目的端口:FTP、HTTP、DNS等 ✓ 数据包协议类型:TCP、UDP、ICMP等 ✓ 数据包流向:in或out ✓ 数据包流经网络接口:Eth0、Eth1
而各种安全要求不能得到充分满足;
• 由于数据包的地址及端口号都在数据包的头部,
不能彻底防止地址欺骗;
• 允许外部客户和内部主机的直接连接; • 不提供用户的鉴别机制。
--
14
代理服务技术
• Application-level Gateway
--
15
代理服务技术
✓也称为应用级网关它不让数据包直接通过, 而是自己接收数据,并对其进行分析。“可 信赖”的服务才能通过。 ✓代理服务器必须了解所要代理的服务,并 为每一种服务提供详细的访问日志记录,能 针对不同的使用者进行认证。 ✓常用的代理服务器有HTTP代理,FT P代理等。
2.可以很方便地监视网络的安全性, 并报警。
--
5
防火墙的基本功能
3.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用 NAT技术,将有限的IP地址动态或静态地与 内部的IP地址对应起来,用来缓解地址空间 短缺的问题。
4.是审计和记录Internet使用费用的一个最 佳地点。
--
22
防火墙的分类
从部署位置分
• 个人防火墙 • 网络防火墙 • 混合防火墙
--
23
防火墙技术的实现
• Windows 防火墙的应用
– 拦截ping包
• 模拟器上访问控制列表的介绍
--
24
对防火墙产品发展的介绍