收藏
下载资源

防火墙技术的原理应与用

上传人:aa****6 文档编号:48813472 上传时间:2018-07-20 格式:PPT 页数:64 大小:1.28MB
返回 下载 相关 举报
防火墙技术的原理应与用_第1页
第1页 / 共64页
防火墙技术的原理应与用_第2页
第2页 / 共64页
防火墙技术的原理应与用_第3页
第3页 / 共64页
防火墙技术的原理应与用_第4页
第4页 / 共64页
防火墙技术的原理应与用_第5页
第5页 / 共64页
点击查看更多>>
资源描述

《防火墙技术的原理应与用》由会员分享,可在线阅读,更多相关《防火墙技术的原理应与用(64页珍藏版)》请在金锄头文库上搜索。

1、第8章 防火墙技术的原理与应用 第8章 防 火墙技术的原理与应用 8.1 防火墙概 述 8.2 防 火墙技术与类型 8.3 防火墙主要 技术参数 8.4 防火墙防御体系结 构类型 8.5 防火墙部署与应用案 例8.6 本章小 结本章思考与练习 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-201

2、1 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 8.1 防 火 墙 概 述 8.1.1 防火墙技术背景目前,各组织机构都是通过便利的公共网络与客户、合作伙伴进行信息交换的,但是,一些敏感的数据有可能泄露给第三方,特别是连上因特网的网络将面临黑客的攻击和入侵。为了应对网络威胁,连网的机构或公司将自己的网络与公共的不可信任的网络进行隔离,其方法是根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域有: Evaluation only.Evaluation only. Created wi

3、th Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 * 公共外部网络,如Internet。* 内联网(Intranet),如某个公司或组织的专用网络,网络访问限制在组织内部。* Extranet,是内联网的扩展延伸,常用作组织与合作伙伴之间进行通

4、信。* 军事缓冲区域,简称DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原

5、理与应用 在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,就能实现隔离有害通信的作用,进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙,因而人们就把这种安全设备俗称为“防火墙”,它一般安装在不同的安全区域边界处,用于网络通信安全控制,由专用硬件或软件系统组成。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2

6、.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 8.1.2 防火墙工作原理防火墙是由一些软、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发,能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。防火墙一般用来将内部网络与Internet或者其他外部网络互相隔离,限制网络互访,保护内部网络的安全,如图8-1所示。 Evaluation only.Evaluation only. Created w

7、ith Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 图8-1 防火墙部署安装示意图 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client

8、Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 防火墙根据网络包所提供的信息实现网络通信访问控制:如果网络通信包符合网络访问控制策略,就允许该网络通信包通过防火墙,否则不允许,如图8-2所示。防火墙的安全策略有两种类型,即:(1) 只允许符合安全规则的包通过防火墙,其他通信包禁止。(2) 禁止与安全规则相冲突的包通

9、过防火墙,其他通信包都允许。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 图8-2 防火墙工作示意图 Evaluation only.Evaluatio

10、n only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。按照TCP/IP协议的层次,防火墙的访问控制可以作用于网络接口层、网络层、传

11、输层、应用层,首先依据各层所包含的信息判断是否遵循安全规则,然后控制网络通信连接,如禁止、允许。防火墙简化了网络的安全管理。如果没有它,网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全,就必须在每台主机上安装安全软件,并对每台主机都要定时检查和配置更新。归纳起来,防火墙的功能有:* 过滤非安全网络访问。将防火墙设置为只有预先被允许的服务和用户才能通过防火墙,禁止未授权的用户访问受保护 的网络,降低被保护网络受非法攻击的风险。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Clien

12、t Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 * 限制网络访问。防火墙只允许外部网络访问受保护网络的指定主机或网络服务,通常受保护网络中的Mail、FTP、WWW服务器等可让外部网络访问,而其他类型的访问则予以禁止。防火墙也用来限制受保护网络中的主机访问外部网络的某些服务,例如某些不良网址。* 网络访问审计。

13、防火墙是外部网络与受保护网络之间的惟一网络通道,可以记录所有通过它的访问并提供网络使用情况的统计数据。依据防火墙的日志,可以掌握网络的使用情况,例如网络通信带宽和访问外部网络的服务数据。防火墙的日 志也可用于入侵检测和网络攻击取证。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Asp

14、ose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 * 网络带宽控制。防火墙可以控制网络带宽的分配使用,实现部分网络质量服务(QoS)保障。* 协同防御。目前,防火墙和入侵检测系统通过交换信息实现联动,根据网络的实际情况配置并修改安全策略,增强网络安全。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5

15、 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 8.1.3 防火墙缺陷尽管防火墙有许多防范功能,但它也有一些力不能及的地方,因为防火墙只能对通过它的网络通信包进行访问控制,所以对未经过它的网络通信就无能为力了。例如,如果允许从内部网络直接拨号访问外部网络,则防火墙就失效了,攻击者通过用户拨号连接直接访问内部网络,绕过防火墙控制,也能造成潜在的攻击途径。 Evaluation only.Evaluation only. Cr

16、eated with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd.第8章 防火墙技术的原理与应用 除此之外,防火墙还有一些脆弱点,例如:* 防火墙不能完全防止感染病毒的软件或文件传输。防火 墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和 压缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描 每个文件查找病毒,而只能在每台主机上安装反病毒软件。* 防火墙不能防止基于数据驱动式的攻击。当有些表面看 来无害的数据被邮寄或复制到主机上并被执行而发起攻击时, 就会发生数据驱动攻击效果。防火墙对此无能为力。* 防火墙不能完全防止后门攻击。防火墙是粗粒度的网络访问控制,某些基于网络隐蔽通道的后门能绕过防火墙

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号