返回
瑞星防火墙指导书(页)

瑞星防火墙指导书(页)

ID:46258611

大小:1.36 MB

页数:22页

时间:2019-11-22

瑞星防火墙指导书(页)_第1页
瑞星防火墙指导书(页)_第2页
瑞星防火墙指导书(页)_第3页
瑞星防火墙指导书(页)_第4页
瑞星防火墙指导书(页)_第5页
资源描述:

《瑞星防火墙指导书(页)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实验2-1网络和应用系统安全【实验目的】通过实验深入理解防火墙的功能和丄作原理,熟悉天网防火墙个人版的配置和使用。【实验原理】2.1防火墙的工作原理防火墙是一种访问控制技术,位于可信和不可信网络Z问,通过设置一系列安全规则对两个网络Z间的通信进行控制,检测交换的信息,防止对重要信息资源的非法存取和访问,以达到保护系统的目的。防火墙有软件防火墙和硬件防火墙,保护的可信网络为金业内部的网络,不可信网络为Interneto此外,防火墙也用于内部网络,保护某一重要部门的网络不受内部网中其它部门网络的侵害。一个好的防火墙系统应具冇以下儿方面的特性:

2、(1)在内部网络和外部网络Z间传输的所有数据都必须通过防火墙:(2)提供众多安全策略,并且只有防火墙安全策略允许的数据可以通过防火墙:(3)防火墙能抵御各种攻击对其正常功能的彩响,能使用现代密码技术、一次口令系统、智能卡等信息安全技术提供防火墙的自身安全性;(4)具冇良好的人机界面,用户配置使用方便、易管理。系统管理员可以方便地对防火墙进行设置,对Internet的访问者、被访问者、访问协议以及访问方式进行控制。1.防火墙的实现技术防火墙实现控制内外网问数据传输的技术有多种,简单地对以分为包过滤技术、应用级网关技术和状态检测技术3人类。(

3、1)包过滤技术包过滤是防火墙最基本的过滤技术,这一技术在1989年提出,是最早期的防火墙技术。它耍求将防火墙放置于内外网络的边界,作为内部、外部网络的惟一通道使一切数据包都必须经过防火墙。防火墙包过滤技术就是对内外网之间传输的数据包按照某些特征事先设置一系列的安全规则(或称安全策略),进行过滤或筛选,使符合安全规则的数据包通过,而丢弃那些不符合安全规则的数据包。这些安全规则设置过程屮所判断的特征包括:①数据包协议类型:TCP、UDP、ICMP、IGMP等:②源、目的IP地址:③源、冃的端口:FTP、HTTP、DNS等;④IP选项:源路由、

4、记录路由等;⑤TCP选项:SYN、ACK、FIN、RST等;⑥其它协议选项:ICMPECHO、ICMPECHOREPLY等;⑦数据包流向:in(进)或out(ttl);⑧数据包流经的网络接口。因为包过滤技术只需要对每个数据包与相应的安全规则进行比较即可,实现较为简单,因而得到了非常广泛的应用。早期肓接应用于路由器,作为路由器功能的一部分。这种技术实现效率高,但配置复杂,容易因配置不当而带来很多问题,而不能彻底防止地址欺骗。包过滤防火墙的拓扑结构都可以简化为如图1所示。防火墙外部网图1包过滤防火墙拓扑结构(1)应用级网关应用级网关即代理服务

5、器,代理服务器通常运行在两个网络之间,它为内部网的客八提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内部网的客户来说是一台服务器,而对于外界的服务器来说,它又相当于此Internet服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后,首先会检查该请求是否符合事先制定的安全规则,如果规则允许,代理服务器会将此请求发送给Internet站点,从Internet站点反馈回的响应信息再由代理服务器转发给内部网的客户。代理服务器会将内部网的客户和Inter,net隔离,从Internet中

6、只能看到该代理服务器而无法获知任何的内部客户的资源。应用级网关比单一•的包过滤更为安全,KuTL会详细地记录所有的访问状态信息。应用级网关防火墙工作原理可以参见图2o市于应用级网关不允许用户直接访问网络,因而将使效率降低,而且应川级网关需要对侮一个特定的Internet服务安装相应的代理服务软件,内部网的客八要安装此软件的客八端软件,而且并非所冇的Internet应用服务都可以使用代理服务器。谢火首图2应用级网关防火墙工作原理(2)状态检测技术状态检测防火墙不仅仅像包过滤防火墙仅考杳数据包的IP地址等儿个孤立的信息,而是增加了对数据包连接

7、状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表,将在内外网间传输的数据包以会话角度进行监测,利川状态表跟踪每一个会话状态,记录有用的信息以帮助识别不同的会话。例如,对内部主机到外部主机的连接请求,防火墙会加以标注,允许从外部响应此请求的数据包以及随后两台主机间传输的数据包通过,直到此连接中断为止,而对由外部发起的企图连接内部主机的数据包则全部丢弃,因此状态检测防火墙提供了完整的对传输层的控制能力。状态检测防火墙对每一个会话的记录、分析工作可能会造成网络连接的迟滞现象,当存在大量的安全规则时尤为明显,采用硬件实现方式可有效改

8、善这方面的缺陷。1.防火墙的体系结构从防火墙配置的体系结构来划分,除了由单台路由器构建的包过滤型防火墙外,主要包括双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构的防火墙。(1)双重宿

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。