防火墙概述ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
.
MAC与IP地址绑定,主要用于防止受控的内部用 户通过更换IP地址访问外网,因其实现简单,内 部只需要两个命令就可以实现,所以绝大多数防 火墙都提供了该项功能。
.
流量控制和统计分析、流量计费 流量控制可以分为基于IP地址的控制和基于用户
的控制。 防火墙可以控制网络带宽的分配使用,实现部分
第6章 防火墙技术与应用
.
学习目标
了解防火墙的基本概念 掌握防火墙的主要功能和缺陷 深入理解防火墙的工作原理和机制 掌握防火墙的分类 了解防火墙的基本部署 掌握防火墙的基本指标
.
引导案例:
随着计算机信息技术的日益发展与完善,互联网 技术的普及和发展,给教育信息化工作的开展提 供了很多的便利,网络成为教育信息化的重要组 成部分。然而,网络的快速发展也给黑客提供了 更多的危及计算机网络信息安全的手段和方法, 网络信息安全成为人们关注的焦点。上海市某教 委计算机网络连接形式多样、终端分布不均匀且 具有开放性特点,容易受到攻击。因此,如何针 对该教委建立一个安全、高效的网络系统,最终 为广大师生提供全面服务,成为了迫切需要解决 的问题。
➢ 防火墙是外部网络与受保护网络之间的惟一网络 通道,可以记录所有通过它的访问并提供网络使 用情况的统计数据。依据防火墙的日志,可以掌 握网络的使用情况,例如网络通信带宽和访问外 部网络的服务数据。防火墙的日志也可用于入侵 检测和网络攻击取证。
.
➢ 由于网络上的数据流量是比较大的,这里 主要有两种解决方式:将日志挂接在内网 的一台专门存放日志的服务器上;将日志 直接存放在防火墙本身的服务器上。
同时NAT技术另外一个显著的用途是解决了IP地址 匮乏的问题。
.
代理 透明代理,主要是在内网主机需要访问外网主机
时,不需要做任何设置,完全意识不到防火墙的 存在而完成内外网的通信,但其基本原理是防火 墙截取内网主机与外网的通信,由防火墙本身完 成与外网的通信,然后把结果传回给内网主机。 传统代理,与透明代理类似,不同的是它需要在 客户端设置代理服务器,代理可以实现较高的安 全性,不足之处是响应缓慢。
.
1.防火墙的基本功能
包过滤
➢ 这是防火墙的基本功能,现在的防火墙已 经有最初的地址、端口判定控制,发展到 判断通信报文协议头的各部分,以及通信 协议的应用层命令、内容、用户特征、用 户规则甚至状态监测等。
➢ 将防火墙设置为只有预先被允许的服务和
用户才能通过防火墙,禁止未授权的用户
访问受保护的网络,降低被保护网络受非
软件防火墙是通过纯软件的方式来实现的
.
防火墙可以是硬件
.
防火墙也可以是软件
.
1.相关概念
外部网络,防火墙之外的网络,如 Internet,默认为风险区域。
内部联网(Intranet),防火墙之内的网络, 一般为局域网,如某个公司或组织的专用 网络,网络访问限制在组织内部。
军事缓冲区域,简称DMZ,该区域是介于内 部网络和外部网络之间的网络段,常放置 .
.
防火墙对待内部主动发起连接的攻击一般无 法阻止 外紧内松是一般局域网的特点,或许一道严 密防守的防火墙内部网络是一片混乱的也是 可能的,通过发送带有木马的URL等方式,然 后由感染木马的主机主动对攻击者连接。另 外防火墙对内部主机间的攻击行为,爱莫能 助。
.
防火墙本身也会出现问题和受到攻击 防火墙也是一个OS,也有其硬件和如图案件 系统,因此也就不可避免的会有BUG,其本 身也会有软硬件方面的故障。
代理服务器,代表内部网络用户向外部网络中的服 务器进行连接请求的程序。
状态检测技术,状态监测模块在不影响网络安全、 正常工作的前提下,采用抽取相关数据的方法对网 络通信的各个层次实行检测,并作为安全决策的依 据。
.
虚拟专用网,在公用网络中配置的专用网络。 漏洞,系统中的安全缺陷,漏洞可以导致入侵者获
.
防火墙不能防范人为因素的攻击; 防火墙不能防止内奸或用户误操作造成的威 胁,防火墙也不能防止用户由于口令泄露而 遭受攻击。
.
防火墙不能防止数据驱动式的攻击。 有些表面看起来无害的数据通过邮件或复制 到内部网的主机上被执行,就会发生数据驱 动式攻击。如一种数据驱动式的攻击造成主 机修改与系统安全有关的配置文件,从而使 入侵者下次更加容易攻击该系统。
➢ 其中被保护的网络称为内部网络,另一方则称 为外部网络或公用网络。它能有效地控制内部 网络与外部网络之间的访问及数据传送,从而 达到保护内部网络的信息不受外部非授权用户
.
从实现方式上看,防火墙可以分为硬件防 火墙和软件防火墙两类:
硬件防火墙是通过硬件和软件的结合来拥塞或者溢 出 由于需要判断并处理流经防火墙的每一个数 据包,所以防火墙在某些流量大,并发请求 多的情况下,很容易造成拥塞,称为整个网 络性能影响的瓶颈。而当防火墙溢出的时候, 整个防线就如同虚设,原本被禁止的连接也 能够通过。
.
防火墙对服务器合法开放的端口的攻击大多 无法阻止; 攻击者利用服务器提供的服务进行缺陷攻击, 由于这些行为在防火墙看来是“合理合法” 的,因此会被误判。
.
2. 防火墙缺陷
尽管防火墙有许多防范功能,但它也有一些力不 能及的地方,因为防火墙只能对通过它的网络通 信包进行访问控制,所以对未经过它的网络通信 就无能为力了。例如,如果允许从内部网络直接 拨号访问外部网络,则防火墙就失效了,攻击者 通过用户拨号连接直接访问内部网络,绕过防火 墙控制,也能造成潜在的攻击途径。
防火墙是内部网络和外部网络之间的第一 道闸门,被用来保护计算机网络免受非授 权人员的骚扰和黑客的入侵。
防火墙在网关位置过滤各种进出网络的数 据,以保护内部网络的主机。
.
6.1.1 防火墙的概念
防火墙(Firewall)——是指隔离在内部网 络与外部网络之间的一道防御系统,它能挡 住来自外部网络的攻击和入侵,保障内部网 络的安全。
.
外部网络
内部网络
路由器
防火墙
防火墙部署安装示意图
.
防火墙根据网络包所提供的信息实现网络通信访问 控制:如果网络通信包符合网络访问控制策略,就允 许该网络通信包通过防火墙,否则不允许。防火墙的 安全策略有两种类型,即:
(1) 只允许符合安全规则的包通过防火墙,其他 通信包禁止。即除非明确允许,否则禁止。
。
.
UF3500/3100防火墙应用 三端口NAT模式
集线器
防火墙UF3500/3100
路由器
PC
PC
交换机
WWW 服务器 FTP 服务器
Mail服务器
.
➢ 在网络中,硬件防火墙是一种用来加强网络之 间访问控制的特殊网络互联设备,如路由器、 网关等。
➢ 它对两个或多个网络之间传输的数据包和连接 方式按照一定的安全策略进行检查,以决定网 络之间的通信是否被允许。
.
2. 防火墙的安全策略
防火墙是由一些软、硬件组合而成的网络访问控 制器,它根据一定的安全规则来控制流过防火墙的 网络包,如禁止或转发,能够屏蔽被保护网络内部 的信息、拓扑结构和运行状况,从而起到网络安全 屏障的作用。防火墙一般用来将内部网络与Internet 或者其他外部网络互相隔离,限制网络互访,保护 内部网络的安全,如图所示。
(2) 禁止与安全规则相冲突的包通过防火墙,其他 通信包都允许。即除非明确禁止,否则允许。
.
内 部 网络 受 到 禁止 通 信 流
允 许 通过 通 信 流
外 部 网络
通 信 被禁 止 , 因 为 不符 合 安 全
禁止
规则
到 外 网通 信 允许
只 有 符合 安 全 规 则 通信 才 允 许
通过
禁止
访 问 指定 的 资 源 允许
.
远程管理,管理界面一般完成对防火墙的 配置、管理和监控等工作。管理界面的设 计直接关系到防火墙的易用性和安全性。 目前防火墙主要有两种远程管理界面:Web 界面和GUI界面。
.
NAT技术,该技术能够透明的对所有内部地址做 转换,使外部网络无法了解内部网络的内部结构, 同时使用NAT的网络与外部网络的连接只能有内 部网络发起,这极大的提高了内部网络的安全性。
.
防火墙可以阻断攻击,但是不能消灭攻击源 互联网上的病毒、木马、恶意试探等造成的攻击行 为络绎不绝。如果防火墙的安全策略设置得当,就 可以阻断这类攻击,但是不能够清除攻击源。
.
防火墙不能抵抗最新的未设置策略的高级漏 洞 如同杀毒软件,总是先出现病毒,杀毒软件 经过分析特征代码以后,将特征代码加入到 特征库中才能给将其查杀。防火墙的各种策 略也是在该攻击方式经过专家分析后给出其 特征而设置的。也就是说防火墙的安全性具 有滞后性。
网络质量服务(QoS)保障。 流量统计是建立在流量控制基础之上的,一般防
火墙对基于IP、服务、时间、协议等进行统计, 并可以与管理界面实现挂接,实时或一统计报表 的形式输出结果。
.
URL级信息过滤 通常是代理模块的一部分,许多防火墙将其功能单独 的提取出来,但是实现是跟代理模块结合起来的。 它用来控制内部网络对某些站点的访问,如禁止某些 站点、禁止访问站点下的某些目录、只允许访问某些 站点或其下目录等。
.
本章内容
6. 1
防火墙概述
6. 2
防火墙的类型
6. 3
防火墙的体系结构
6. 4
防火墙配置
6. 5
防火墙产品介绍
.
6. 1
防火墙概述
古时候,建造和使用木质结构的房屋, 为了在火灾发生时,防止火势蔓延,人们 将坚固的石块堆砌在房屋周围形成一道墙 作为屏障,这种防护构筑物被称之为防火 墙。
在今天的网络世界里,人们借用了防火 墙这个概念,把隔离在内部网络和外界网 络之间的一道防御系统称为防火墙。它在 内部网和外部网之间构造一个保护层,并 迫使所有的连接和访问都通过这一保护层, .
取信息并导致不正确的访问。 数据驱动攻击,入侵者把一些具有破坏性的数据藏
匿在普通数据中传送到互联网主机上,当这些数据 被激活时就会发生数据驱动攻击。 IP地址欺骗,一种突破防的火墙系统的常用方法。 入侵者通过伪造的IP发送地址产生虚假的数据包, 乔装成来自内部网络数据。
.
在安全区域划分的基础上,通过一种网络安全设 备,控制安全区域间的通信,就能实现隔离有害通信 的作用,进而可以阻断网络攻击。这种安全设备的功 能类似于防火使用的墙,因而人们就把这种安全设备 俗称为“防火墙”,它一般安装在不同的安全区域边 界处,用于网络通信安全控制,由专用硬件或软件系 统组成。
未 知 通信 规 定 允许 通 信
防火墙
图8-2 防火墙工作示意图
.
防火墙 发展史
防火墙的发展简史
4. 第四代防火墙——具有安全操作系统的防火墙
3. 第三代防火墙——建立在通用操作系统上的防火 墙
2. 第二代防火墙——用户化的防火墙
1. 第一代防火墙——基于路由器的防火墙
.
6.1.2 防火墙的功能与缺陷
法攻击的风险。
.
➢ 限制网络访问。防火墙只允许外部网络访问受保 护网络的指定主机或网络服务,通常受保护网络 中的Mail、FTP、WWW服务器等可让外部网络访问, 而其他类型的访问则予以禁止。防火墙也用来限 制受保护网络中的主机访问外部网络的某些服务, 例如某些不良网址。
.
➢ 网络访问审计和预警。审计和预警是防火墙的在 配置好相关参数后作出的丢弃、拒绝或接受的重 要措施,防火墙的审计和预警机制在防火墙体系 中很重要。
防火墙简单的可以用路由器、交换机实现,复杂的就要用 一台计算机,甚至一组计算机实现。按照TCP/IP协议的层次, 防火墙的访问控制可以作用于网络接口层、网络层、传输层、 应用层,首先依据各层所包含的信息判断是否遵循安全规则, 然后控制网络通信连接,如禁止、允许。防火墙简化了网络的 安全管理。如果没有它,网络中的每个主机都处于直接受攻击 的范围之内。为了保护主机的安全,就必须在每台主机上安装 安全软件,并对每台主机都要定时检查和配置更新。
吞吐量,在不丢包的情况下单位时间内通 过防火墙数据包的数量,这是衡量防火墙 性能的重要指标。
最大连接数,该数据更贴近网络的实际情 况,网络中大多数连接数是指所建立的一 个虚拟通道。这也是衡量防火墙的一个重 要指标。
堡垒主机,一种被强化的可以防御进攻的 .
包过滤,在网络层中对数据包实施有选择的通过, 依据系统事先设定好的过滤规则,检查数据流中的 每个数据包,根据数据包的源地址、目的地址及端 口等信息来确定是否允许数据包通过。
MAC与IP地址绑定,主要用于防止受控的内部用 户通过更换IP地址访问外网,因其实现简单,内 部只需要两个命令就可以实现,所以绝大多数防 火墙都提供了该项功能。
.
流量控制和统计分析、流量计费 流量控制可以分为基于IP地址的控制和基于用户
的控制。 防火墙可以控制网络带宽的分配使用,实现部分
第6章 防火墙技术与应用
.
学习目标
了解防火墙的基本概念 掌握防火墙的主要功能和缺陷 深入理解防火墙的工作原理和机制 掌握防火墙的分类 了解防火墙的基本部署 掌握防火墙的基本指标
.
引导案例:
随着计算机信息技术的日益发展与完善,互联网 技术的普及和发展,给教育信息化工作的开展提 供了很多的便利,网络成为教育信息化的重要组 成部分。然而,网络的快速发展也给黑客提供了 更多的危及计算机网络信息安全的手段和方法, 网络信息安全成为人们关注的焦点。上海市某教 委计算机网络连接形式多样、终端分布不均匀且 具有开放性特点,容易受到攻击。因此,如何针 对该教委建立一个安全、高效的网络系统,最终 为广大师生提供全面服务,成为了迫切需要解决 的问题。
➢ 防火墙是外部网络与受保护网络之间的惟一网络 通道,可以记录所有通过它的访问并提供网络使 用情况的统计数据。依据防火墙的日志,可以掌 握网络的使用情况,例如网络通信带宽和访问外 部网络的服务数据。防火墙的日志也可用于入侵 检测和网络攻击取证。
.
➢ 由于网络上的数据流量是比较大的,这里 主要有两种解决方式:将日志挂接在内网 的一台专门存放日志的服务器上;将日志 直接存放在防火墙本身的服务器上。
同时NAT技术另外一个显著的用途是解决了IP地址 匮乏的问题。
.
代理 透明代理,主要是在内网主机需要访问外网主机
时,不需要做任何设置,完全意识不到防火墙的 存在而完成内外网的通信,但其基本原理是防火 墙截取内网主机与外网的通信,由防火墙本身完 成与外网的通信,然后把结果传回给内网主机。 传统代理,与透明代理类似,不同的是它需要在 客户端设置代理服务器,代理可以实现较高的安 全性,不足之处是响应缓慢。
.
1.防火墙的基本功能
包过滤
➢ 这是防火墙的基本功能,现在的防火墙已 经有最初的地址、端口判定控制,发展到 判断通信报文协议头的各部分,以及通信 协议的应用层命令、内容、用户特征、用 户规则甚至状态监测等。
➢ 将防火墙设置为只有预先被允许的服务和
用户才能通过防火墙,禁止未授权的用户
访问受保护的网络,降低被保护网络受非
软件防火墙是通过纯软件的方式来实现的
.
防火墙可以是硬件
.
防火墙也可以是软件
.
1.相关概念
外部网络,防火墙之外的网络,如 Internet,默认为风险区域。
内部联网(Intranet),防火墙之内的网络, 一般为局域网,如某个公司或组织的专用 网络,网络访问限制在组织内部。
军事缓冲区域,简称DMZ,该区域是介于内 部网络和外部网络之间的网络段,常放置 .
.
防火墙对待内部主动发起连接的攻击一般无 法阻止 外紧内松是一般局域网的特点,或许一道严 密防守的防火墙内部网络是一片混乱的也是 可能的,通过发送带有木马的URL等方式,然 后由感染木马的主机主动对攻击者连接。另 外防火墙对内部主机间的攻击行为,爱莫能 助。
.
防火墙本身也会出现问题和受到攻击 防火墙也是一个OS,也有其硬件和如图案件 系统,因此也就不可避免的会有BUG,其本 身也会有软硬件方面的故障。
代理服务器,代表内部网络用户向外部网络中的服 务器进行连接请求的程序。
状态检测技术,状态监测模块在不影响网络安全、 正常工作的前提下,采用抽取相关数据的方法对网 络通信的各个层次实行检测,并作为安全决策的依 据。
.
虚拟专用网,在公用网络中配置的专用网络。 漏洞,系统中的安全缺陷,漏洞可以导致入侵者获
.
防火墙不能防范人为因素的攻击; 防火墙不能防止内奸或用户误操作造成的威 胁,防火墙也不能防止用户由于口令泄露而 遭受攻击。
.
防火墙不能防止数据驱动式的攻击。 有些表面看起来无害的数据通过邮件或复制 到内部网的主机上被执行,就会发生数据驱 动式攻击。如一种数据驱动式的攻击造成主 机修改与系统安全有关的配置文件,从而使 入侵者下次更加容易攻击该系统。
➢ 其中被保护的网络称为内部网络,另一方则称 为外部网络或公用网络。它能有效地控制内部 网络与外部网络之间的访问及数据传送,从而 达到保护内部网络的信息不受外部非授权用户
.
从实现方式上看,防火墙可以分为硬件防 火墙和软件防火墙两类:
硬件防火墙是通过硬件和软件的结合来拥塞或者溢 出 由于需要判断并处理流经防火墙的每一个数 据包,所以防火墙在某些流量大,并发请求 多的情况下,很容易造成拥塞,称为整个网 络性能影响的瓶颈。而当防火墙溢出的时候, 整个防线就如同虚设,原本被禁止的连接也 能够通过。
.
防火墙对服务器合法开放的端口的攻击大多 无法阻止; 攻击者利用服务器提供的服务进行缺陷攻击, 由于这些行为在防火墙看来是“合理合法” 的,因此会被误判。
.
2. 防火墙缺陷
尽管防火墙有许多防范功能,但它也有一些力不 能及的地方,因为防火墙只能对通过它的网络通 信包进行访问控制,所以对未经过它的网络通信 就无能为力了。例如,如果允许从内部网络直接 拨号访问外部网络,则防火墙就失效了,攻击者 通过用户拨号连接直接访问内部网络,绕过防火 墙控制,也能造成潜在的攻击途径。
防火墙是内部网络和外部网络之间的第一 道闸门,被用来保护计算机网络免受非授 权人员的骚扰和黑客的入侵。
防火墙在网关位置过滤各种进出网络的数 据,以保护内部网络的主机。
.
6.1.1 防火墙的概念
防火墙(Firewall)——是指隔离在内部网 络与外部网络之间的一道防御系统,它能挡 住来自外部网络的攻击和入侵,保障内部网 络的安全。
.
外部网络
内部网络
路由器
防火墙
防火墙部署安装示意图
.
防火墙根据网络包所提供的信息实现网络通信访问 控制:如果网络通信包符合网络访问控制策略,就允 许该网络通信包通过防火墙,否则不允许。防火墙的 安全策略有两种类型,即:
(1) 只允许符合安全规则的包通过防火墙,其他 通信包禁止。即除非明确允许,否则禁止。
。
.
UF3500/3100防火墙应用 三端口NAT模式
集线器
防火墙UF3500/3100
路由器
PC
PC
交换机
WWW 服务器 FTP 服务器
Mail服务器
.
➢ 在网络中,硬件防火墙是一种用来加强网络之 间访问控制的特殊网络互联设备,如路由器、 网关等。
➢ 它对两个或多个网络之间传输的数据包和连接 方式按照一定的安全策略进行检查,以决定网 络之间的通信是否被允许。
.
2. 防火墙的安全策略
防火墙是由一些软、硬件组合而成的网络访问控 制器,它根据一定的安全规则来控制流过防火墙的 网络包,如禁止或转发,能够屏蔽被保护网络内部 的信息、拓扑结构和运行状况,从而起到网络安全 屏障的作用。防火墙一般用来将内部网络与Internet 或者其他外部网络互相隔离,限制网络互访,保护 内部网络的安全,如图所示。
(2) 禁止与安全规则相冲突的包通过防火墙,其他 通信包都允许。即除非明确禁止,否则允许。
.
内 部 网络 受 到 禁止 通 信 流
允 许 通过 通 信 流
外 部 网络
通 信 被禁 止 , 因 为 不符 合 安 全
禁止
规则
到 外 网通 信 允许
只 有 符合 安 全 规 则 通信 才 允 许
通过
禁止
访 问 指定 的 资 源 允许
.
远程管理,管理界面一般完成对防火墙的 配置、管理和监控等工作。管理界面的设 计直接关系到防火墙的易用性和安全性。 目前防火墙主要有两种远程管理界面:Web 界面和GUI界面。
.
NAT技术,该技术能够透明的对所有内部地址做 转换,使外部网络无法了解内部网络的内部结构, 同时使用NAT的网络与外部网络的连接只能有内 部网络发起,这极大的提高了内部网络的安全性。
.
防火墙可以阻断攻击,但是不能消灭攻击源 互联网上的病毒、木马、恶意试探等造成的攻击行 为络绎不绝。如果防火墙的安全策略设置得当,就 可以阻断这类攻击,但是不能够清除攻击源。
.
防火墙不能抵抗最新的未设置策略的高级漏 洞 如同杀毒软件,总是先出现病毒,杀毒软件 经过分析特征代码以后,将特征代码加入到 特征库中才能给将其查杀。防火墙的各种策 略也是在该攻击方式经过专家分析后给出其 特征而设置的。也就是说防火墙的安全性具 有滞后性。
网络质量服务(QoS)保障。 流量统计是建立在流量控制基础之上的,一般防
火墙对基于IP、服务、时间、协议等进行统计, 并可以与管理界面实现挂接,实时或一统计报表 的形式输出结果。
.
URL级信息过滤 通常是代理模块的一部分,许多防火墙将其功能单独 的提取出来,但是实现是跟代理模块结合起来的。 它用来控制内部网络对某些站点的访问,如禁止某些 站点、禁止访问站点下的某些目录、只允许访问某些 站点或其下目录等。
.
本章内容
6. 1
防火墙概述
6. 2
防火墙的类型
6. 3
防火墙的体系结构
6. 4
防火墙配置
6. 5
防火墙产品介绍
.
6. 1
防火墙概述
古时候,建造和使用木质结构的房屋, 为了在火灾发生时,防止火势蔓延,人们 将坚固的石块堆砌在房屋周围形成一道墙 作为屏障,这种防护构筑物被称之为防火 墙。
在今天的网络世界里,人们借用了防火 墙这个概念,把隔离在内部网络和外界网 络之间的一道防御系统称为防火墙。它在 内部网和外部网之间构造一个保护层,并 迫使所有的连接和访问都通过这一保护层, .
取信息并导致不正确的访问。 数据驱动攻击,入侵者把一些具有破坏性的数据藏
匿在普通数据中传送到互联网主机上,当这些数据 被激活时就会发生数据驱动攻击。 IP地址欺骗,一种突破防的火墙系统的常用方法。 入侵者通过伪造的IP发送地址产生虚假的数据包, 乔装成来自内部网络数据。
.
在安全区域划分的基础上,通过一种网络安全设 备,控制安全区域间的通信,就能实现隔离有害通信 的作用,进而可以阻断网络攻击。这种安全设备的功 能类似于防火使用的墙,因而人们就把这种安全设备 俗称为“防火墙”,它一般安装在不同的安全区域边 界处,用于网络通信安全控制,由专用硬件或软件系 统组成。
未 知 通信 规 定 允许 通 信
防火墙
图8-2 防火墙工作示意图
.
防火墙 发展史
防火墙的发展简史
4. 第四代防火墙——具有安全操作系统的防火墙
3. 第三代防火墙——建立在通用操作系统上的防火 墙
2. 第二代防火墙——用户化的防火墙
1. 第一代防火墙——基于路由器的防火墙
.
6.1.2 防火墙的功能与缺陷
法攻击的风险。
.
➢ 限制网络访问。防火墙只允许外部网络访问受保 护网络的指定主机或网络服务,通常受保护网络 中的Mail、FTP、WWW服务器等可让外部网络访问, 而其他类型的访问则予以禁止。防火墙也用来限 制受保护网络中的主机访问外部网络的某些服务, 例如某些不良网址。
.
➢ 网络访问审计和预警。审计和预警是防火墙的在 配置好相关参数后作出的丢弃、拒绝或接受的重 要措施,防火墙的审计和预警机制在防火墙体系 中很重要。
防火墙简单的可以用路由器、交换机实现,复杂的就要用 一台计算机,甚至一组计算机实现。按照TCP/IP协议的层次, 防火墙的访问控制可以作用于网络接口层、网络层、传输层、 应用层,首先依据各层所包含的信息判断是否遵循安全规则, 然后控制网络通信连接,如禁止、允许。防火墙简化了网络的 安全管理。如果没有它,网络中的每个主机都处于直接受攻击 的范围之内。为了保护主机的安全,就必须在每台主机上安装 安全软件,并对每台主机都要定时检查和配置更新。
吞吐量,在不丢包的情况下单位时间内通 过防火墙数据包的数量,这是衡量防火墙 性能的重要指标。
最大连接数,该数据更贴近网络的实际情 况,网络中大多数连接数是指所建立的一 个虚拟通道。这也是衡量防火墙的一个重 要指标。
堡垒主机,一种被强化的可以防御进攻的 .
包过滤,在网络层中对数据包实施有选择的通过, 依据系统事先设定好的过滤规则,检查数据流中的 每个数据包,根据数据包的源地址、目的地址及端 口等信息来确定是否允许数据包通过。