返回
网络管理与安全技术.ppt

网络管理与安全技术.ppt

ID:59174274

大小:1.69 MB

页数:52页

时间:2020-09-22

网络管理与安全技术.ppt_第1页
网络管理与安全技术.ppt_第2页
网络管理与安全技术.ppt_第3页
网络管理与安全技术.ppt_第4页
网络管理与安全技术.ppt_第5页
资源描述:

《网络管理与安全技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络管理与安全技术第7章防火墙防火墙作为网络安全的一种防护手段得到了广泛的应用,已成为各企业网络中实施安全保护的核心,安全管理员可以通过其选择性地拒绝进出网络的数据流量,增强了对网络的保护作用。防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。防火墙通常是运行在一台单独计算机之上的一个特别的服务软件,用来保护由许多台计算机组成的内部网络,可以识别并屏蔽非法请求,有效防止跨

2、越权限的数据访问。防火墙可以是非常简单的过滤器,也可能是精心配置的网关。但都可用于监测并过滤所有内部网和外部网之间的信息交换。防火墙保护着内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输,并对网络数据的流动实现有效地管理。7.1防火墙基本概念防火墙示意图UF3500/3100防火墙应用 三端口NAT模式交换机路由器集线器防火墙UF3500/3100WWW服务器Mail服务器PCPCFTP服务器7.1

3、.1防火墙技术发展状况自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后,防火墙技术得到了飞速的发展。许多公司推出了功能不同的防火墙系统产品。第一代防火墙,又称为包过滤防火墙,其主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过或进行转发,但这种防火墙很难抵御IP地址欺骗等攻击,而且审计功能很差。第二代防火墙,也称代理服务器,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接

4、攻击,安全性较高。第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。第四代防火墙:1992年,开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙:1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。7.1.1防火墙技术发展状况7.1.2防火墙的任务防火墙应能够确保满足以下四个目标:1.实现安全策略防火墙的主要目的是强制执行人们所设计的安全策略。比如,安全策略中只需对E-mail服务器的SMTP流量作些限制,那么就要在防火墙中直接

5、设置并执行这一策略。防火墙一般实施两个基本设计策略之一:n凡是没有明确表示允许的就要被禁止;n凡是没有明确表示禁止的就要被允许。2.创建检查点防火墙在内部网络和公网间建立一个检查点。通过检查点防火墙设备可以监视、过滤和检查所有进来和出去的流量。网络管理员可以在检查点上集中实现安全目的。7.1.2防火墙的任务7.1.2防火墙的任务九运会信息网络系统已经受并成功地抵御了87万多次网络攻击3.记录Internet活动防火墙可以进行日志记录,并且提供警报功能。通过在防火墙上实现日志服务,安全管理员可以监视所有从

6、外部网或互联网的访问。好的日志策略是实现网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。7.1.2防火墙的任务保护内部网络对于公网防火墙隐藏了内部系统的一些信息以增加其保密性。当远程节点探测内部网络时,其仅仅能看到防火墙。远程节点不会知道内部网络结构和资源。防火墙以提高认证功能和对网络加密来限制网络信息的暴露,并通过对所有输入的流量时行检查,以限制从外部发动的攻击。7.2防火墙技术目前大多数防火墙都采用几种技术相结合的形式来保护网络不受恶意的攻击,其基本技术通常分为两类:l网络数据

7、单元过滤l网络服务代理7.2.1数据包过滤数据包过滤(PacketFiltering)技术是在网络层对数据包进行分析、选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(AccessControlTable)。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。7.2.1数据包过滤包过滤技术工作在OIS七层模型的网络层上并有两个功能,即允许和阻止;如果检查数据包所有的条件都符合规则,则允许进行路由;如果检查到数据包的条件不符合规则,则阻

8、止通过并将其丢弃。包检查是对IP头和传输层的头进行过滤,一般要检查下面几项:7.2.1数据包过滤l源IP地址l目的IP地址lTCP/UDP源端口lTCP/UDP目的端口l协议类型(TCP包、UDP包、ICMP包)lTCP报头中的ACK位lICMP消息类型7.2.1数据包过滤例如:若想禁止从Internet的远程登录到内部网设备中,则需要建立一条包过滤规则。因为Telnet服务是使用TCP协议的23端口,则禁止Telnet的包过滤规则为:规则

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。