返回
信息安全技术第七章节-防火墙技术

信息安全技术第七章节-防火墙技术

ID:41303415

大小:1.76 MB

页数:81页

时间:2019-08-21

信息安全技术第七章节-防火墙技术_第1页
信息安全技术第七章节-防火墙技术_第2页
信息安全技术第七章节-防火墙技术_第3页
信息安全技术第七章节-防火墙技术_第4页
信息安全技术第七章节-防火墙技术_第5页
资源描述:

《信息安全技术第七章节-防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全技术许红星防火墙技术个人或企业都想连接到Internet,或者和其它的网络相连接但是Internet存在很多安全问题,不能很好的保证每个系统都是安全的防火墙可以很好的提供对网络的防护防火墙技术防火墙是由软件和硬件(如计算机、路由器)组合而成的一个或一组系统,它处于企业或网络群体计算机与外界通道之间,用来加强Internet与Intranet之间的安全防范。对网络服务进行限制只允许授权的网络数据流审计和控制访问可对不正常的行为发出警报本身是安全的防火墙技术防火墙技术不能防护绕过防火墙的攻击utilitymodems,信任的组织,信任的服务(SSL/SSH)不能

2、防护发自内部的攻击内部员工的攻击不能防护被病毒感染的程序或文件由于大量的程序和文件的传输防火墙技术四种控制:服务控制决定哪些Internet服务可以被访问,对外的或对内的。数据流控制决定某个服务请求的数据流向是否允许。防火墙技术用户控制决定用户试图访问的服务是否合法。行为控制控制某个服务的处理方式。(过滤某些垃圾邮件)防火墙技术三种类型的防火墙:包过滤防火墙应用层网关链路层网关防火墙技术包过滤防火墙防火墙技术包过滤防火墙应用层表示层会话层传输层网络层数据链路层物理链路层内部网络外部网络防火墙技术包过滤防火墙对每个进入的IP包根据设定的规则进行过滤,然后确定是转发还是

3、丢弃这个数据包。对两个方向上的数据包进行过滤包过滤规则一般匹配IP或者TCP头的某个域。IP地址协议类型TCP/UDP头信息分片字段两个缺省的策略(丢弃或转发)。防火墙技术Telnet服务:Out允许,In拒绝.ruledirectionprotocolSour.Addr.Dest.Addr.SourcePortDest.PortACKaction1Outtcpinsideoutside>=102423*Y2IntcpInside23>=10241Y3*******N防火墙技术优点:实现简单对用户透明速度快缺点:设置包过滤规则比较困难缺乏认证防火墙技术可能的攻击

4、或威胁IP地址伪装攻击源地址路由攻击碎片攻击防火墙技术应用代理网关防火墙技术代理服务应用层表示层会话层传输层网络层数据链路层物理链路层内部网络外部网络防火墙技术应用层网关也叫代理服务器作为应用层数据流的中继防火墙技术优点:比包过滤更为安全只需要开放少部分允许的程序便于对进入的数据流进行记录和审计缺点:对每个连接要进行额外的处理防火墙技术链路层网关防火墙技术电路层网关设置两个TCP连接一般只是在两个连接之间转发TCP数据包,对内容不作检查SOCKS应用层传输层物理层应用层传输层物理层应用层传输层物理层客户端SOCKS服务器V4:发起连接请求建立代理电路中继应用数据V5

5、认证防火墙技术防火墙功能包过滤技术网络地址转换代理服务状态检查防火墙技术包过滤器是最原始的防火墙。包过滤器根据每个包头部内的信息来决定是否要将包继续传输,从而增强安全性。理论上,包过滤器可以被配置为根据协议包头的任何部分进行判断,主要是:IP地址协议类型TCP/UDP头信息分片字段包过滤器通常可以使用路由器来实现。防火墙技术包过滤规则包括以下信息:接口和方向包是流入还是离开网络,这些包通过哪种接口。源和目的IP地址检查包从何而来(源IP地址)、发往何处(目的IP地址)。IP选项检查所有选项字段,特别是要阻止源路由(sourcerouting)。高层协议使用IP包的上

6、层协议类型,例如TCP还是UDP。TCP包的ACK位检查这一字段可帮助确定是否有、及以何种方向建立连接。ICMP的报文类型可以阻止某些刺探网络信息的企图。TCP和UDP包的源和目的端口此信息帮助确定正在使用的是哪些服务。防火墙技术网络地址转换受保护的网络用户连接到Internet,那么他必须使用一个合法的IP地址。但由于合法IP地址有限,并且受保护的网络往往有自己的一套IP规划,这时就需要在内部网络和Internet之间转换;网络地址转换就是在防火墙上装一个合法IP地址池,当内部网络某一用户要访问Internet,防火墙动态地从地址池中选一个未使用地址分配给该用户,

7、该用户就可以使用这个合法地址进行通信。防火墙技术防火墙技术NATServer140.176.123.1140.176.123.2140.176.123.3Internet工作站A工作站B工作站C工作站D10.10.10.110.10.10.210.10.10.310.10.10.4140.176.123.1140.176.123.2140.176.123.3防火墙技术替换客户的IP地址和源端口号一个有效的因特网地址能够为LAN中的多个客户提供服务。NAT服务器维护一张将客户的连接转换为外部IP地址的表和为该IP地址分配的唯一的端口号,这样就可以确定各个用户了。防

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。