防火墙及其应用.pptx
《防火墙及其应用.pptx》由会员分享,可在线阅读,更多相关《防火墙及其应用.pptx(32页珍藏版)》请在咨信网上搜索。
1、2024/4/10 周三1第第7章章 防火墙及其应用防火墙及其应用7.1 防火防火墙概述概述7.2 防火防火墙技技术与分与分类7.3防火防火墙体系体系结构构7.4 防火防火墙安全安全规则7.5防火防火墙应用用2024/4/10 周三27.1 防火墙概述防火墙概述n7.1.1 防火防火墙概念与概念与发展展历程程n 1.防火防火墙概念概念 防火防火墙是指是指设置在不同网置在不同网络之之间,例如可,例如可信任的内部网和不可信的公共网,或者不同网信任的内部网和不可信的公共网,或者不同网络安全域之安全域之间的的软硬件系硬件系统组合。它可通合。它可通过监测、限制、更改跨越防火、限制、更改跨越防火墙的数据流
2、,尽可能的数据流,尽可能地地对外部屏蔽网外部屏蔽网络内部的信息、内部的信息、结构和运行状构和运行状况,以此来保况,以此来保护企企业内部网内部网络的安全。的安全。2.防火墙的发展防火墙的发展n第一代防火第一代防火墙:第一代防火:第一代防火墙技技术几乎与路由器同几乎与路由器同时出出现,主要基于包,主要基于包过滤技技术(Packet Filter),是依),是依附于路由器的包附于路由器的包过滤功能功能实现的防火的防火墙。n第二代防火第二代防火墙:1989年,年,贝尔实验室的室的Dave Presotto和和Howard Trickey最早推出了第二代防火最早推出了第二代防火墙,即,即电路路层防火防火
3、墙。n第三代防火第三代防火墙:到:到20世世纪90年代初,开始推出第三代年代初,开始推出第三代防火防火墙,即,即应用用层防火防火墙(或者叫做代理防火(或者叫做代理防火墙)。)。n第四代防火第四代防火墙:到:到1992年,年,USC信息科学院的信息科学院的BobBraden开开发出了基于出了基于动态包包过滤(Dynamic Packet Filter)技)技术的的第四代防火的的第四代防火墙。n第五代防火第五代防火墙:到了:到了1998年,年,NAI公司推出了一种自公司推出了一种自适适应代理(代理(Adaptive Proxy)技)技术,可以称之,可以称之为第五第五代防火代防火墙。3.防火墙的发展
4、趋势防火墙的发展趋势n高安全性和高效率高安全性和高效率n对数据包的全方位数据包的全方位检查 n分布式防火分布式防火墙技技术 n建立与部署适用于建立与部署适用于IP V6协议下的防火下的防火墙体系体系架构架构2024/4/10 周三57.1.2 防火墙的功能防火墙的功能n对防火防火墙有两个基本需求:一是保有两个基本需求:一是保证内部网的安全性;内部网的安全性;二是保二是保证内部网与外部网之内部网与外部网之间的的连通性。通性。(1)过滤不安全数据和非法用不安全数据和非法用户。(2)报警与警与审计。(3)透明代理。)透明代理。(4)抗攻)抗攻击能力。能力。(5)VPN 功能。功能。(6)路由管理。)
5、路由管理。2024/4/10 周三67.1.3 防火墙局限性防火墙局限性n7.1.3 防火防火墙局限性局限性 1.对某些正常服某些正常服务的限制的限制 2.无法抵御来自内网的威无法抵御来自内网的威胁 3.无法阻无法阻挡旁路攻旁路攻击及潜在后及潜在后门 4.无法控制无法控制对病毒文件的病毒文件的传输 5.内网瓶内网瓶颈问题 2024/4/10 周三77.2 防火墙技术与分类防火墙技术与分类n7.2.1 包包过滤防火防火墙技技术 1.简单包包过滤技技术 2.状状态检测包包过滤技技术n7.2.2 代理服代理服务防火防火墙技技术 1.电路路级网关网关 2.应用用级网关网关 3.自适自适应代理代理7.2
6、.1包过滤防火墙技术包过滤防火墙技术n包包过滤(Packet Filter)是所有防火是所有防火墙中最核心的功能,与代理服中最核心的功能,与代理服务器技器技术相比,其相比,其优势是是传输信息信息时不占用网不占用网络带宽。包。包过滤路路由器在网由器在网络上的物理位置和上的物理位置和逻辑位置如位置如图7-2和和图7-3所示。包所示。包过滤型防火型防火墙根据一根据一组过滤规则集合,逐个集合,逐个检查IP数据包,确定是数据包,确定是否允否允许该数据包通数据包通过。图图7-2 7-2 包过滤路由器的物理位置包过滤路由器的物理位置图7-3 包包过滤路由器的路由器的逻辑位置位置两类包过滤防火墙技术两类包过滤
7、防火墙技术 包包过滤防火防火墙技技术根据所使用的根据所使用的过滤方法又具方法又具体可分体可分为:简单包包过滤技技术和状和状态检测包包过滤技技术。1.简单包包过滤技技术 也称作称静也称作称静态包包过滤。简单包包过滤防火防火墙在在检查数据包数据包报头时,只是根据定,只是根据定义好的好的过滤规则集来集来检查所有所有进出防火出防火墙的数据包的数据包报头信信息,并根据息,并根据检查结果允果允许或者拒或者拒绝数据包,并数据包,并不关心服不关心服务器和客器和客户机之机之间的的连接状接状态。2.状状态检测包包过滤技技术 也称也称动态包包过滤,是包,是包过滤器和器和应用用级网网关的一种折衷方案。关的一种折衷方案
8、。该技技术具有包具有包过滤机制的机制的高速和灵活性,也有高速和灵活性,也有应用用级网关的网关的应用用层安全安全的的优点。状点。状态检测包包过滤防火防火墙除了有一个除了有一个过滤规则集外,集外,还要跟踪通要跟踪通过自身的每一个自身的每一个连接,接,提取有关的通信和提取有关的通信和应用程序的状用程序的状态信息,构成信息,构成当前当前连接的状接的状态列表。列表。7.2.2代理服务防火墙技术代理服务防火墙技术 代理服代理服务(Proxy Service)是指运行于内部网)是指运行于内部网络与外网之与外网之间的主机的主机(堡堡垒主机主机)上的一种上的一种应用。当用用。当用户需要需要访问代理服代理服务器另
9、一器另一侧主机主机时,代理服,代理服务器器对于符合安全于符合安全规则的的连接,会代替主机响接,会代替主机响应访问请求,求,并重新向主机并重新向主机发出一个相同的出一个相同的请求。当此求。当此连接接请求得求得到回到回应并建立起并建立起连接之后,内部主机同外部主机之接之后,内部主机同外部主机之间的通信将通的通信将通过代理程序的相代理程序的相应连接映射来接映射来实现。代理。代理既是客既是客户端(端(Client),也是服),也是服务器端(器端(Server)。)。代理服代理服务防火防火墙的工作原理如的工作原理如图7-4。图7-4应用代理防火用代理防火墙的原理的原理图 代理服代理服务防火防火墙主要包含
10、以下三主要包含以下三类:1.电路路级网关网关 也称也称线路路级网关,工作在会网关,工作在会话层,在两主机首次,在两主机首次建立建立TCP连接接时建立通信屏障。它作建立通信屏障。它作为服服务器接收外器接收外来来请求,求,转发请求;与被保求;与被保护的主机的主机连接接时则扮演客扮演客户机角色、起到代理服机角色、起到代理服务的作用。它的作用。它监视两主机建立两主机建立连接接时的握手信息,如的握手信息,如SYN,ACK和序列数据等是否和序列数据等是否合乎合乎逻辑,然后由网关复制、,然后由网关复制、传递数据,而不数据,而不进行数行数据包据包过滤。电路路级网关中特殊的客网关中特殊的客户程序只在初次程序只在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 及其 应用
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。