网络安全设备概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DMZ区不可向可信网络发起连接请求
DMZ区与不可信网络的连接请求根据业务需要确
定
不可信的网络
可信网络
防火墙
Intranet
路由器
Internet
DMZ
非军事化区
25
双防火墙部署方式
使用两台防火墙分别作为外部防火墙和内部防火 墙,在两台防火墙之间形成了一个非军事区网段
外部流量允许进入DMZ网段 内部流量允许进入DMZ网络并通过DMZ网段流出
检测引擎
应用层 表示层 会话层 传输层 网络层
数据链路层 物理层
9
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
动态动动状态态态状状表态态表表
防火墙实现技术--状态检测
优点
可应用会话信息决定过滤规则 具有记录有关通过的每个包的详细信息的能力 安全性较高
缺点
检查内容比包过滤检测技术多,所以对防火墙 的性能提出了更高的要求
网络安全设备概述
知识域:网络安全设备
知识子域:防火墙技术
理解防火墙的作用、功能及分类 理解包过滤技术、状态检测技术和应用代理技术等
防火墙主要技术原理 掌握防火墙的部署结构 理解防火墙的局限性
2
防火墙基本概念
什么是防火墙
一种协助确保信息安全的设备 ,会依照特定的规则,允许或 是限制传输的数据通过。
适用面广
缺点
仅简单的在两个连接间转发数据,不能识别数据包 的内容
12
防火墙的实现技术-NAT
什么是NAT
一种将私有(保留)地址转化为合法IP地址的转换 技术,它被广泛应用于各种类型Internet接入方式 和各种类型的网络中。
NAT技术设计初衷
增加私有组织的可用地址空间 解决现有私有网络接入的IP地址编号问题
安全网 域一
4
防火墙的分类
按主要技术分
包过滤型 代理型 混合型
按体系结构分
筛选路由器 双宿/多宿主机防火墙 屏蔽主机防火墙 屏蔽子网防火墙 混合结构
其他分类方法
5
防火墙的实现技术
包过滤技术 状态检测技术 代理网关技术
6
防火墙的实现技术-包过滤
实现机制:依据数据包的基本标记来控制数据 包
缺点:
过滤规则集合复杂,配置困难 无法满足对应用层信息进行过滤的安全要求 不能防止地址欺骗,及外部客户与内部主机直
接连接 安全性较差,不提供8 用户认证功能
防火墙实现技术--状态检测
在数据链路层和网络层之间对数据包进行检测 创建状态表用于维护连接上下文
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
先阻止所有数据包 需要的给予开放
没有明确禁止的就是允许
对明确禁止的设置策略
23
防火墙的策略设置
可信网络可向DMZ区和不可信网络发起连接请求
可信网络
防火墙
Intranet
DMZ
路由器 非军事化区
不可信的网络
Internet
24
防火墙的策略设置
DMZ区可接受可信网络和不可信网络的连接请求
外部应用程序却不能方便地与 NAT 网关后面的应 用程序联系。
15
防火墙的实现技术-应用代理
工作在应用层 使用代理技术,对应用层数据包进行检查 对应用或内容进行过滤,例如:禁止FTP的
“put”命令
16
防火墙的实现技术-应用代理
优点
可以检查应用层内容,根据内容进行审核和过 滤
提供良好的安全性
13
防火墙的实现技术-NAT
NAT实现方式
静态地址转换 动态地址转换 端口转换
安全网 域一
202.2.2.2
202.2.2.100
192.168.1.1
14
192.168.1.30
NAT的优缺点
优点
管理方便并且节约IP地址资源 隐藏内部 IP 地址信息 可用于实现网络负载均衡
缺点百度文库
防火墙部署在哪
可信网络与不可信网络之间 不同安全级别网络之间 两个需要隔离的区域之间
Internet
防火墙
3
防火墙的作用
为什么需要防火墙
控制:在网络连接点上建立一个安全控制点,对进 出数据进行限制
隔离:将需要保护的网络与不可信任网络进行隔离 ,隐藏信息并进行安全防护
记录:对进出数据进行检查,记录相关信息
兼有高安全性和高效率
18
防火墙部署结构
单防火墙(无DMZ)部署方式 单防火墙(DMZ)部署方式 双防火墙部署方式
19
单防火墙(无DMZ)部署方式
192.168.1.254/24
202.101.10.1/24
防火墙
Intranet
内部网络 192.168.1.0/24 GW:192.168.1.254
网络层地址:IP地址(源地址及目的地址) 传输层地址:端口(源端口及目的端口) 协议:协议类型
安全网 域一
7
防火墙的实现技术-包过滤
优点:
逻辑简单,功能容易实现,设备价格便宜 处理速度快 可以识别和丢弃带欺骗性源IP地址的包 过滤规则与应用层无关,无须修改主机上的应
用程序,易于安装和使用
至外部网络 外部网络的流量不允许进入直接进入内部网络
特点
能提供更为安全的系统结构 实施复杂性和费用较高
26
防火墙的不足和局限性
难于管理和配置,易造成安全漏洞 防外不防内,不能防范恶意的知情者 只实现了粗粒度的访问控制 很难为用户在防火墙内外提供一致的安全策略 不能防范病毒
缺点
支持的应用数量有限 性能表现欠佳
17
防火墙实现技术-自适应代理技术
自适应代理防火墙主要由自适应代理服务器与动 态包过滤组成,它可以根据用户的配置信息,决 定从应用层代理请求,还是从网络层转发包
特点
根据用户定义安全规则动态“适应”传输中的分组 流量
• 高安全要求:在应用层进行检查 • 明确会话安全细则:链路层数据包转发
Internet
外部网络 202.101.10.0/24 GW:202.101.10.1
20
单防火墙(DMZ)部署方式
21
防火墙的典型部署
区域划分:可信网络、不可信网络、DMZ区
可信网络
防火墙
Intranet
DMZ
路由器 非军事化区
不可信的网络
Internet
22
防护墙的策略设置
没有明确允许的就是禁止
状态检测防火墙的配置非常复杂,对于用户的 能力要求较高,使用起来不太方便
10
防火墙的实现技术-代理网关
每一个内外网络之间的连接都要通过防火墙的介 入和转换,加强了控制
分类
电路级代理 应用代理
11
防火墙的实现技术-电路级代理
建立回路,对数据包进行转发 优点
能提供NAT,为内部地址管理提供灵活性,隐藏 内部网络等