防火墻的基本工作原理_第1頁(yè)
已閱讀1頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、教學(xué)要求:理解防火墻的基本工作原理,了解防火墻所采用的基本技術(shù)。教學(xué)重點(diǎn):防火墻的基本工作原理教學(xué)難點(diǎn):基本概念的理解教學(xué)過(guò)程:防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,有選擇地接受外部訪問(wèn),對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)絡(luò)的訪問(wèn),在被

2、保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。防火墻有兩種,硬件防火墻和軟件防火墻,他們都能起到保護(hù)作用并篩選出網(wǎng)絡(luò)上的攻擊者。在這里主要給大家介紹一下我們?cè)谄髽I(yè)網(wǎng)絡(luò)安全實(shí)際運(yùn)用中所常見(jiàn)的硬件防火墻。1、防火墻技術(shù)防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、代理服務(wù)。下面,我們將介紹這些手段的工作機(jī)理及特點(diǎn),并介紹一些防火墻的主流產(chǎn)品。包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù),它通過(guò)在網(wǎng)絡(luò)間相互連接

3、的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則,對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查,限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶(hù)透明,傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層,安全控制的力度也只限于源地址、目的地址和端口號(hào),因而只能進(jìn)行較為初步的安全控制,對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段,則無(wú)能為力。狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接,狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全

4、規(guī)則,允許符合規(guī)則的連接通過(guò),并在內(nèi)存中記錄下該連接的相關(guān)信息,生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表,就可以通過(guò)。這種方式的好處在于:由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查,而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過(guò)散列算法,直接進(jìn)行狀態(tài)檢查,從而使得性能得到了較大提高;而且,由于狀態(tài)表是動(dòng)態(tài)的,因而可以有選擇地、動(dòng)態(tài)地開(kāi)通1024號(hào)以上的端口,使得安全性得到進(jìn)一步地提高。2、防火墻工作原理(1)包過(guò)濾防火墻包過(guò)濾防火墻

5、一般在路由器上實(shí)現(xiàn),用以過(guò)濾用戶(hù)定義的內(nèi)容,如IP地址。包過(guò)濾防火墻的工作原理是:系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,與應(yīng)用層無(wú)關(guān)。這樣系統(tǒng)就具有很好的傳輸性能,可擴(kuò)展能力強(qiáng)。但是,包過(guò)濾防火墻的安全性有(狀態(tài)檢測(cè)防火墻工作原理圖)(4)復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻,進(jìn)一步基于ASIC架構(gòu),把防病毒、內(nèi)容過(guò)濾整合到防火墻里,其中還包括VPN、IDS功能,多單元融為一體,是一種新突破。常規(guī)的防火墻并不能防止隱蔽

6、在網(wǎng)絡(luò)流量里的攻擊,在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描,把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái),這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描,實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。(復(fù)合型防火墻工作原理圖)3、四類(lèi)防火墻的對(duì)比包過(guò)濾防火墻:包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū),包過(guò)濾防火墻不建立連接狀態(tài)表,前后報(bào)文無(wú)關(guān),應(yīng)用層控制很弱。應(yīng)用網(wǎng)關(guān)防火墻:不檢查IP、TCP報(bào)頭,不建立連接狀態(tài)表,網(wǎng)絡(luò)層保護(hù)比較弱。狀態(tài)檢

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論