《局域网外部防火墙与内部防火墙概念》由会员分享,可在线阅读,更多相关《局域网外部防火墙与内部防火墙概念(16页珍藏版)》请在金锄头文库上搜索。
1、局域网外部防火墙与内部防火墙概念局域网外部防火墙与内部防火墙概念我听说组建局域网的时候可以设置外部防火墙与内部防火墙。外部防火墙与内部防火墙之间是“安全隔离(DMZ)区” ,外部防火墙的外面是路由器(接 INTERNET) ,内部防火墙的后面就是内部网络区了。内部防火墙是接在哪的啊?(一)内部防火墙是不是直接拉一条线直接接在外部防火墙上,外部防火墙的其它的各个端口接各个主机(为安全隔离(DMZ)区的成员) ;(二)还是说在外部防火墙的端口上先接一个交换机,在交换机的几个端口上各接一部主机(这些主机为安全隔离(DMZ)区的成员)并就在这个交换机的其中一个端口上接一部防火墙(这部就是内部防火墙)
2、,然后内部防火墙的各个端口就可以接内部网络的各部主机了。我这样的理解对不对啊?一、防火墙的概念 1. 最初含义:当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙 。 2. Rich Kosinski(Internet Security 公司总裁): 防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换句话说,防火墙是一道门槛,控制进/出两个方向的通信。 3. William Cheswick 和 Steve Beilovin(1994): 防火墙是放置在两个网络之间的一组组件,这组组件共同具有下列性质:
3、(1)只允许本地安全策略授权的通信信息通过; (2)双向通信信息必须通过防火墙; (3)防火墙本身不会影响信息的流通。 4. 防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet 之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 注意:防火墙主要用于保护安全网络免受不安全网络的侵害。 典型情况:安全网络为企业内部网络,不安全网络为因特网。 但防火墙不只用于因特网,也可用于 Intranet 各部门网络之间。(内部防火墙) 。E.g.:财务部与市场部之间。 5. 在逻辑上,防
4、火墙是分离器,限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。 在物理上,防火墙通常是一组硬件设备路由器、主计算机,或者是路由器、计算机和配有软件的网络的组合。 防火墙一般可分为多个部分,某些部分除了执行防火墙功能外还执行其它功能。E.g.:加密和解密VPN。 6. 防火墙的实质是一对矛盾(或称机制):限制数据流通,允许数据流通。 两种极端的表现形式:除了非允许不可的都被禁止,安全但不好用。(限制政策) ;除了非禁止不可的都被允许,好用但不安全。 (宽松政策) 多数防火墙都在两种之间采取折衷。 在一个没有防火墙环境中,网络安全完全依赖于主机安全,并且在某
5、种意义上所有主机都必须协同达到一个统一的高安全标准。基于主机的安全伸缩性不好:当一个站点上主机的数量增加时,确定每台主机处于高安全级别之上,势必会使性能下降。如果某个网络软件的薄弱点被发现,没有防火墙保护的站点必须尽可能快地更正每个暴露的系统,这并不现实,特别是在一些不同版本的操作系统正被使用时。 二、防火墙的作用 1. 网络安全的第一道防线(防盗门、战壕、交通警察、门卫) 2. 防火墙是阻塞点,可强迫所有进出信息都通过这个唯一狭窄的检查点,便于集中实施安全策略。 3. 防火墙可以实行强制的网络安全策略,E.g.:禁止不安全的协议NFS,禁止 finger 。 4. 对网络存取和访问进行监控审
6、计。E.g.:网络使用和滥用的记录统计。 5. 使用内部防火墙可以防止一个网段的问题传播到另一个网段。 三、防火墙体系结构 1. 基本原理 (1)防火墙是网络之间的一种特殊的访问控制设施,放置在网络的边界上,用于隔离 Internet 的一部分,限制其与 Internet 其他部分之间数据的自由流动,在不可靠的互连网络中建立一个可靠的子网。 (2)安全域:一个计算机子网中具有相同安全政策的计算机的集合。 (3)过滤器:本地安全政策的具体体现,对穿越的流量实施控制以阻止某一类别的流量。 2. 防火墙分类 (1)IP 级防火墙,又称报文过滤防火墙。 原理:在路由软件中根据报文的信源、信宿及服务类型
7、来实现报文过滤功能。 特点:网络性能好,透明、方便;不能针对特定用户和特定请求,粒度不够。 (2)应用级防火墙,又称代理防火墙。 原理:双穴主机隔离内外直接连接,为两端代理服务请求。 特点:不存在直接报文交换,安全性好,粒度精确完备;但效率低,只能针对专门服务,有局限性。 (3)链路级防火墙 原理:双穴主机提供通用的 TCP/UDP 连接中继服务。 3. 防火墙的使用 (1)一般原则 1)防火墙的使用是以额外的软硬件设备和系统性能的下降为代价的。2)防火墙的设置取决于对网络的安全防卫要求和所能承受的经济能力,以及系统被攻破之后可能产生的后果的严重性。 3)防火墙适用于保护内部主机安全管理不太严
8、格的大型组织机构。 (2)防火墙的使用形式 1)路由器过滤方式防火墙 在内部网与外部网的关键路径上设置一台带有报文过滤功能的路由器,通过设置过滤规则准确完备地表达本地网络的安全政策。2)双穴信关方式防火墙 双穴主机使用两个接口分别连接内部和外部网络,并隔离两个网络之间的直接 IP 报文交换。分为代理服务和用户直接登录两种访问控制方式。 3)主机过滤方式防火墙 提供安全保护的堡垒主机仅与内部网相连,通过过滤路由器连接内部网和外部网,外部网只能访问堡垒主机。更具安全性和可操作性。 4)子网过滤方式防火墙:DMZ 方式(非军事区方式) 在主机过滤的基础上增加子网过滤,用过滤子网隔离堡垒主机与内部网,
9、减轻攻击者入侵堡垒主机后对内部网的冲击。 5)内部防火墙 用于大型网络内部子网分隔,以阻止访问控制中信赖关系的传递转移。 (3)使用防火墙的问题 1)灵活性差,不能满足网络互连的复杂形式。 2)防火墙重点防卫网络传输,不保证高层协议的安全。 3)防火墙必须设置在路由的关键点,且安全域内不能存在备份的迂回路由。 4. 防火墙的管理 (1)防火墙日志:用于安全追踪。 (2)备份:防火墙系统的所有配置文件和系统文件。 四、IP 级防火墙 1. 工作原理 (1)多端口交换设备,根据报文报头执行过滤规则来进行报文转发。 (2)传输控制表 1)定义过滤规则,报文依次运用每一条规则直至匹配的规则,然后执行对
10、应的操作。 2)传输控制表的建立:安全政策形式化描述防火墙软件语法格式 3)制定过滤规则:规则之间并不互斥,长前缀匹配优先。 4)不同的 IP 级防火墙产品有不同的传输控制表格式。 2. 报文过滤规则 (1)SMTP 处理:服务器端口 25,客户机端口1023 (2)POP 处理:服务器端口 110,客户机端口1023 (3)HTTP 处理:服务器端口 80,客户机端口1023 (4)FTP 处理:服务器控制连接端口 21,数据连接端口 20,客户机端口1023 (5)Telnet 处理:服务器端口 23,客户机端口1023 (6)DNS 处理:服务器端口 53,客户机端口1023 (7)RP
11、C 处理:端口映射服务器 111,不提倡在不安全环境中提供 RPC 服务 (8)UDP 处理:很难控制和验证,通过应用级防火墙拒绝 UDP 报文 (9)ICMP 处理:容易遭受 DOS 攻击,ICMP 过滤范围取决于网络的管理域 (10)路由处理:应阻止内部路由信息出去,同时阻止外部路由信息进来 (11)IP 分段报文处理:取决于网络的安全要求,必要时应设置上下文 (12)IP 隧道:由于开销过大,一般 IP 级防火墙不对 IP 隧道进行过滤 3. 内部路由与防火墙的混合结构 内部网使用一个路由器同时处理内部路由和外部防火墙功能,此时防火墙的定义要针对路由器的端口进行,需要路由器各端口的路由表
12、配合。 4. IP 防火墙的政策控制 (1)鉴别:验证用户的标识 (2)授权:判定用户是否有权访问所申请的资源。 5. 源点鉴别 (1)目的:防止盗用资源和服务失效攻击 (2)验证形式:抽样检查 1)对报文流当场进行抽样检查 2)一边转发,一边抽样进行后台检查 3)将样本记入日志,事后进行审计 (3)鉴别方法:过滤标准,临时口令,报文摘录,报文签名 6. IP 级防火墙技术评价 (1)优点(P191) (2)目前存在的问题(P192) 五、应用级防火墙 1. 基本原理 (1)在堡垒主机中使用应用代理服务器控制内部网络与外部网络的报文交换。 (2)优点 1)对特定的应用服务在内部网络内外的使用实
13、施有效控制,具有很强的针对性和专用性。 2)内部网络中的用户名被防火墙中的名字取代,增加了攻击者寻找攻击对象的难度。 3)可以对过往操作进行检查和控制,禁止了不安全的行为。 4)提供报文过滤功能,还能实现对传输时间、带宽等进行控制的方法。 (3)缺点 1)通用性较差,需要为每个应用协议配置不同的代理服务器。 2)需要对正常的客户软件进行相应的调整或修改。 3)新服务的出现和对应代理的出现存在较大延迟,成为新的不安全因素。 (4)设计原则(P193) 1)不允许内部网络与外界直接的 IP 交互,要有边界防火墙。 2)允许内部用户发起向外的 FTP 和 Email,但可以通过代理进行审计。 3)外
14、部网络用户是不可信任的,要有鉴别功能。 4)内部用户所使用的涉及外部网络的服务应该是可控制的。 5)防火墙的功能是针对外部网络访问的你所说的手持终端其实相当无线网络行业所说的无线 Client 设备,你说的问题是一个无线漫游的问题。漫游其实都涉及到了断开再连接问题,只是这个过程的快慢是否合适。第一种方法是,你把你的终端设备内设置自动连接所有的无线 AP 设备,这样当终端设备在这些无线 AP 移动漫游时,其会自动漫游连接到信号较强的无线 AP 设备上。其中间断是感觉不到的。第二种方法,把你所有的无线 AP 的 SSID 设置成相同的,这样当终端设备在这些无线 AP 移动漫游时,其会自动漫游连接到
15、信号较强的无线 AP 设备上。其中间断也是感觉不到的。如果传输的是视频信息的话,可能会这个过程感觉比较明显。如果是数据信息的话,此过程就感觉不到了。希望以上对你有帮助!有问题可以找我,我是一名无线网络技术,呵呵!可以再沟通无线路由器是单纯型 AP 与宽带路由器的一种结合体;AP、路由功能和交换机的集合体,支持有线无线组成同一子网,直接接上MODEM。无线 AP:AP 为 Access Point 简称,一般翻译为“无线访问节点” ,它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。 相当于一个无线交换机,接在有线交换机
16、或路由器上,为跟它连接的无线网卡从路由器那里分得 IP。比如,一个猫上能否连接三个无线 AP,将这三个无线 AP,延长,放置在不同的地方,来实现更广范围的无线覆盖,这样可以的吗?可以啊,3 个 ap 分别是 A B C 猫连 A A 的 WAN 口设置拨号,设置好。 接着 A 连 B(网线连接) ,给 B 的 wan 口 分配一个 ip 地址,设置好。再 B 连 C(网线连接好) ,给 c 一个 IP 地址,设置好。就能实现更广范围的无线覆盖无线 AP(Access Point)即无线接入点,它是用于无线网络的无线交换机,也是无线网络的核心。无线 AP 是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为 802.11 系列。大多数无线 AP 还带有接入点客户端模式(AP client) ,可以和其它 AP 进行无线连接,延展网络的覆盖范围。无线 AP百科名片无线 AP(Access Point)即无线接入点,它是用于无线网络的无线交换机,也是无线网络的核心。无线 AP 是移动计算机用
