收藏
下载资源

防火墙技术原理

上传人:子 文档编号:51924447 上传时间:2018-08-17 格式:PPT 页数:76 大小:2.64MB
返回 下载 相关 举报
防火墙技术原理_第1页
第1页 / 共76页
防火墙技术原理_第2页
第2页 / 共76页
防火墙技术原理_第3页
第3页 / 共76页
防火墙技术原理_第4页
第4页 / 共76页
防火墙技术原理_第5页
第5页 / 共76页
点击查看更多>>
资源描述

《防火墙技术原理》由会员分享,可在线阅读,更多相关《防火墙技术原理(76页珍藏版)》请在金锄头文库上搜索。

1、1防火墙技术原理2vv 防火墙基本概念防火墙基本概念vv 防火墙发展历程防火墙发展历程vv 防火墙核心技术防火墙核心技术vv 防火墙体系结构防火墙体系结构vv防火墙功能与原理防火墙功能与原理vv 防火墙的接入方式防火墙的接入方式vv 防火墙的典型应用防火墙的典型应用vv 防火墙性能防火墙性能vv 防火墙局限性防火墙局限性vv防火墙的两个议题防火墙的两个议题主要内容3一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间,它通过相关的安全策略来之间,它通过相关的安全策略来控制控制 (允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问

2、行为。两个安全域之间通 信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决 定进出网络的行为IT 领域防火墙的概念4vv 防火墙基本概念防火墙基本概念vv 防火墙发展历程防火墙发展历程vv 防火墙核心技术防火墙核心技术vv 防火墙体系结构防火墙体系结构vv防火墙功能与原理防火墙功能与原理vv 防火墙的接入方式防火墙的接入方式vv 防火墙的典型应用防火墙的典型应用vv 防火墙性能防火墙性能vv 防火墙局限

3、性防火墙局限性目录 5基于路由器的防火墙 软件防火墙的初级形式,具有审计和告警功能软件防火墙的初级形式,具有审计和告警功能 对数据包的访问控制过滤通过专门的软件实现对数据包的访问控制过滤通过专门的软件实现 与第一代防火墙相比,安全性提高了,价格降低了与第一代防火墙相比,安全性提高了,价格降低了 在路由器中通过在路由器中通过ACLACL规则来实现对数据包的控制;规则来实现对数据包的控制; 过滤判断依据:地址、端口号、协议号等特征过滤判断依据:地址、端口号、协议号等特征 是批量上市的专用软件防火墙产品是批量上市的专用软件防火墙产品 安装在通用操作系统之上安装在通用操作系统之上 安全性依靠软件本身和

4、操作系统本身的整体安全安全性依靠软件本身和操作系统本身的整体安全 防火墙厂商具有操作系统的源代码,并可实现安全内核防火墙厂商具有操作系统的源代码,并可实现安全内核 功能强大,安全性很高功能强大,安全性很高 易于使用和管理易于使用和管理 是目前广泛应用的防火墙产品是目前广泛应用的防火墙产品基于安全操作 系统的防火墙基于通用操作 系统的防火墙防火墙工具套防火墙的发展历程6vv 防火墙基本概念防火墙基本概念vv 防火墙发展历程防火墙发展历程vv 防火墙核心技术防火墙核心技术vv 防火墙体系结构防火墙体系结构vv防火墙功能与原理防火墙功能与原理vv 防火墙的接入方式防火墙的接入方式vv 防火墙的典型应

5、用防火墙的典型应用vv 防火墙性能防火墙性能vv 防火墙局限性防火墙局限性目录 71.1.分组过滤(分组过滤(Packet filteringPacket filtering):):工作在网络层,根据数工作在网络层,根据数 据包中的据包中的IPIP地址、端口号、协议类型等标志确定是否允许数地址、端口号、协议类型等标志确定是否允许数 据包通过。据包通过。2.2.应用代理(应用代理(Application ProxyApplication Proxy):):工作在应用层,通过编工作在应用层,通过编 写不同的应用代理程序,实现对应用层数据的检测和分析。写不同的应用代理程序,实现对应用层数据的检测和分

6、析。3.3.状态检测:工作在多个层次,直接对整个数据包进行处理,状态检测:工作在多个层次,直接对整个数据包进行处理, 通过分析状态连接表中的信息,进行综合判断决定是否允许通过分析状态连接表中的信息,进行综合判断决定是否允许 该数据包通过。该数据包通过。防火墙的过滤技术8应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击TCPTCP开始攻击开始攻击IPIP应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击I

7、PIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击只检查报头只检查报头101001001001010010000011100111101111011101001001001010010000011100111101111011001001001010010000011100111101111011001001001010010000011100111101111011包过滤防火墙的工作原理1. 1.简单包过滤防火墙不检查简单包过滤防火墙不检查 数据区数据区2. 2.简单包过滤防火墙不建立简单包过滤防火墙不建立 连接状态表连接状态表3. 3.前后报

8、文无关前后报文无关4. 4.应用层控制很弱应用层控制很弱9应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击TCPTCP开始攻击开始攻击IPIP应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击只检查数据只检查数据10100100100101001000001110011110111101110100100

9、1001010010000011100111101111011001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理1. 1.不检查不检查IPIP、TCPTCP报头报头2. 2.不建立连接状态表不建立连接状态表3. 3.网络层保护比较弱网络层保护比较弱10应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击 主服务器主服务器 硬盘数据硬盘数

10、据TCPTCP开始攻击开始攻击IPIP应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击 主服务器主服务器 硬盘数据硬盘数据检查多个报文组成的会话检查多个报文组成的会话10100100100101001000001110011110111101110100100100101001000001110011110111101100100100101001000001110011110111101100100100101001000001110011110

11、1111011状态检测防火墙的工作原理建立建立状态连接表状态连接表TCPTCP主服务器主服务器IPIPTCPTCP硬盘数据硬盘数据IPIP开始攻击开始攻击数据检查数据检查主服务器主服务器硬盘数据硬盘数据报文报文1 1报文报文2 2报文报文3 31. 1.网络层保护强网络层保护强2. 2.应用层保护强应用层保护强3. 3.会话保护很强会话保护很强4. 4.上下文相关上下文相关5. 5.前后报文有联系前后报文有联系11vv 防火墙基本概念防火墙基本概念vv 防火墙发展历程防火墙发展历程vv 防火墙核心技术防火墙核心技术vv 防火墙体系结构防火墙体系结构vv防火墙功能与原理防火墙功能与原理vv 防火

12、墙的接入方式防火墙的接入方式vv 防火墙的典型应用防火墙的典型应用vv 防火墙性能防火墙性能vv 防火墙局限性防火墙局限性目录 12vv 过滤路由器过滤路由器vv 多宿主主机多宿主主机vv 被屏蔽主机被屏蔽主机vv 被屏蔽子网被屏蔽子网防火墙体系结构13防火墙的体系结构(1)过滤路由器(Filtering Router): 过滤路由器作为内外网连接的唯一通道,通过ACL策 略要求所有的报文都必须在此通过检查,实现报文过滤功 能。 它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。 14防火墙的体系结构(2)双宿主主机(Dual Homed Gateway): 双宿主主机优

13、于过滤路由器的地方是:堡垒主机的系统软件可 用于维护系统日志。 它的致命弱点是:一旦入侵者侵入堡垒主机,则无法保证内部 网络的安全。 15防火墙的体系结构(3)被屏蔽主机(Screened Host Gateway): 通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发, 来确保内部网络的安全。 弱点:如果攻击者进入屏蔽主机内,内网中的就会受到很大威胁;这 与双宿主主机受攻击时的情形差不多。 16防火墙的体系结构(4)被屏蔽子网 (Screened Subnet): 这种结构是在内部网络和外部网络之间建立一个被隔离的子网,用两 台过滤路由器分别与内部网络和外部网络连接,中间通过堡垒主

14、机进 行数据转发。 特点:如果攻击者试图进入内网或者子网,他必须攻破过滤路由器和 双宿主主机 ,然后才可以进入子网主机,整个过程中将引发警报机 制。 17vv 防火墙基本概念防火墙基本概念vv 防火墙发展历程防火墙发展历程vv 防火墙核心技术防火墙核心技术vv 防火墙体系结构防火墙体系结构vv防火墙功能与原理防火墙功能与原理vv 防火墙的接入方式防火墙的接入方式vv 防火墙的典型应用防火墙的典型应用vv 防火墙性能防火墙性能vv 防火墙局限性防火墙局限性目录 18Host C Host D 基本的访问控制功能Access list 192.168.1.3 to 202.2.33.2Access

15、 nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass规则匹配成功v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v 基于文件v 基于网址v 基于MAC地址19Trunk Trunk 口口Trunk Trunk 口口VLAN 1VLAN 1VLAN 2VLAN 2支持支持VLANVLAN的交换机的交换机Trunk Trunk 口口Trunk Trunk 口口VLAN 1VLAN 1VLAN 2VLAN 2Switch1Swit

16、ch1Switch 2Switch 2同一交换机的不同同一交换机的不同 VLAN VLAN 之间通讯之间通讯不同交换机的同一不同交换机的同一 VLAN VLAN 之间通讯之间通讯不支持TRUNK的防火墙无法在这种环境下工作不支持TRUNK的防火墙 无法在这种环境下工作防火墙对TRUNK模式的支持20分级带宽管理Internet Internet WWW WWW MailMailDNS DNS 财务部子网财务部子网采购部子网采购部子网出口带宽出口带宽 512 512KKDMZ DMZ 区保留区保留 256 256KK分配分配 70 70K K 带宽带宽分配分配 90 90K K 带宽带宽分配分配 96 96K K 带宽带宽DMZ DMZ 区域区域内部网络内部网络总带宽总带宽512 512 KK内网内网256 256 KKDMZ 256 KDMZ 256 K70 70 KK90

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号