收藏
下载资源

防火墙的基本工作原理

上传人:博****1 文档编号:476456605 上传时间:2022-10-25 格式:DOC 页数:4 大小:92.50KB
返回 下载 相关 举报
防火墙的基本工作原理_第1页
第1页 / 共4页
防火墙的基本工作原理_第2页
第2页 / 共4页
防火墙的基本工作原理_第3页
第3页 / 共4页
防火墙的基本工作原理_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

《防火墙的基本工作原理》由会员分享,可在线阅读,更多相关《防火墙的基本工作原理(4页珍藏版)》请在金锄头文库上搜索。

1、教学要求:理解防火墙的基本工作原理,了解防火墙所采用的基本技术。教学重点:防火墙的基本工作原理教学难点:基本概念的理解教学过程:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或 网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯 一出入 口,通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽 网络内部的信息、 结构和运行状况, 有选择地接受外部访问, 对内部强化设备监 管、控制对服务器与外部网络的访问,在被保护网络和外部网络 之间架起一道 屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬件防火墙 和软件防火墙,他们都能起到保护作用

2、并筛选出网络上的攻击者。在这 里主要 给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。1、防火墙技术防火墙通常使用的安全控制手段主要有包过滤、 状态检测、代理服务。下面, 我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。包过滤技术是一种简单、 有效的安全控制技术, 它通过在网络间相互连接的 设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端 口号等规则,对通过 设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点 是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制 的力度也只限 于源地址、目的地址和端口号,因而只能进行较为初

3、步的安全控 制,对于恶意的拥塞攻击、 内存覆盖攻击或病毒等高层次的攻击手段, 则无能为 力。状态检测是比包过滤更为有效的安全控制方法。 对新建的应用连接, 状态检 测检查预先设置的安全规则, 允许符合规则的连接通过, 并在内存中记录下该连 接的相关 信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可 以通过。这种方式的好处在于: 由于不需要对每个数据包进行规则检查, 而是一 个连接的后续数 据包(通常是大量的数据包)通过散列算法,直接进行状态检 查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选 择地、动态地开通 1024 号以上的端口,使得安全性得到进一步地提高

4、。2、防火墙工作原理 (1) 包过滤防火墙包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。 包过滤防火墙的工作原理是: 系统在网络层检查数据包, 与应用层无关。 这样系 统就具 有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一 定的缺陷,因为系统对应用层信息无感知, 也就是说,防火墙不理解通信的内容, 所以可能被 黑客所攻破。只检查报头(包过滤防火墙工作原理图)(2) 应用网关防火墙应用网关防火墙检查所有应用层的信息包, 并将检查的内容信息放入决策过 程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务 器模式实现的。每个客户机/服务器通信需要

5、两个连接: 一个是从客户端到防火 墙,另一个是 从防火墙到服务器。另外,每个代理需要一个不同的应用进程, 或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序, 否则不能使用该服 务。所以,应用网关防火墙具有可伸缩性差的缺点。1PTCP只检查数据(应用网关防火墙工作原理图)性能比较好,同时对 这种防火墙摒弃了简单(3) 状态检测防火墙 状态检测防火墙基本保持了简单包过滤防火墙的优点, 应用是透明的,在此基础上,对于安全性有了大幅提升。 包过滤防 火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火 墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事

6、件来处理。可以 这样说,状态检测包过滤防火墙规范了网络层和传输层行为, 而应用代理型防火墙则是规范了特定的应用协议上的行为。只检査报头,1建立连接状态表(状态检测防火墙工作原理图)(4)复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPNIDS功能, 多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的 攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体 现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现 了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。建立连接状态表-(复合型防火墙工作原理图)3、四类防火墙的对比包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态 表,前后报文无关,应用层控制很弱。应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比 较弱。状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层 控制很弱。复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络 层保护强,应用层控制细,会话控制较弱

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 演讲稿/致辞

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号