计算机网络技术第二十二讲计算机网络技术ppt课件.ppt

计算机网络技术 第二十二讲 6 3防火墙技术 6 3 1防火墙及其功能6 3 2防火墙的基本技术6 3 3防火墙的配置 6 3防火墙技术 本节教学目标 理解防火墙的功能 掌握防火墙的基本技术 了解防火墙的配置 6 3 1防火墙及其功能 防火墙是一个分离器 限制器 分析器防火墙软件可以安装在路由器上 防火墙软件也可以安装在一台主机上 6 3防火墙技术 6 3 1防火墙及其功能 6 3防火墙技术 防火墙逻辑位置示意图 6 3 1防火墙及其功能 防火墙的功能 6 3防火墙技术 作为网络安全的屏障 强化网络安全策略 有效的记录Internet上的活动 防止攻击性故障蔓延和内部信息的泄漏 6 3 1防火墙及其功能 防火墙的缺陷 6 3防火墙技术 防火墙具有一定的局限 不能防备全部的威胁 防火墙不能防止数据驱动式的攻击 6 3 2防火墙的基本技术 目前使用的防火墙技术主要有 6 3防火墙技术 1 包过滤技术 就是在网络的适当位置对数据包进行审查 在Internet技术中还使用内容过滤技术 黑名单 软件 白名单 软件 内容选择平台PICS 6 3 2防火墙的基本技术 数据包过滤防火墙网络的特点 6 3防火墙技术 逻辑简单 性能和透明性好 一般安装在路由器上 这种防火墙实现方式相当简捷 效率较高 在应用环境比较简单的情况下 保证系统安全的代价较小 6 3 2防火墙的基本技术 数据包过滤防火墙网络的缺陷 6 3防火墙技术 只能根据数据包的来源 目标和端口等网络信息进行判断 无法识别基于应用的恶意侵入 由于数据包的源地址 目的地址以及IP端口号都在数据包的头部 很有可能被窃听或假冒 缺乏用户日志和审计检查 不具备登录报告性能 不能进行审核管理 过滤规则的完整性难以验证 安全性较差 6 3 2防火墙的基本技术 2 代理服务技术 6 3防火墙技术 1 代理服务概述是位于两个网络之间的一种常见的服务器 位于客户机和服务器之间 完全阻挡了二者之间的数据交流 6 3 2防火墙的基本技术 2 代理服务技术 6 3防火墙技术 6 3 2防火墙的基本技术 其特别之处在于 6 3防火墙技术 从客户机来看 相当于一台真正的服务器 从服务器来看 又是一台真正的客户机 6 3 2防火墙的基本技术 2 代理服务器的工作原理 6 3防火墙技术 请求 应答 转发应答 转发请求 6 3 2防火墙的基本技术 2 代理服务器的工作原理 6 3防火墙技术 应用代理程序与服务器之间的连接是虚连接 两条虚连接 客户连接 服务器连接 代理服务器的中转 6 3 2防火墙的基本技术 3 应用代理程序 6 3防火墙技术 是代理服务器的核心部件 是根据不同的应用协议进行设计的 应用网关可以分为FTP网关 Telnet网关 Web网关等 6 3 2防火墙的基本技术 4 代理服务器的功能 6 3防火墙技术 中转数据 对传输的数据进行预处理 对中转数据提供详细的日志和审计 节省IP地址 节省网络资源 6 3 2防火墙的基本技术 3 堡垒主机 6 3防火墙技术 是运行防火墙软件的主机 使防火墙最关键的部件 也是入侵者最关注的部件 必须健壮 必须不容易被攻破 6 3 3防火墙的配置 1 包过滤路由器 6 3防火墙技术 是最简单的一种 除路由功能 还安装了分组 包过滤软件 容易实现 安全性非常脆弱 仅在早期的Internet中使用 6 3 3防火墙的配置 2 屏蔽主机防火墙 6 3防火墙技术 由同时部署的包过滤路由器和堡垒主机组成 包过滤路由器实现网络层安全 代理服务器实现应用层安全 包过滤路由器被配置在外网和堡垒主机之间 6 3 3防火墙的配置 堡垒主机分为两种类型 6 3防火墙技术 双连点堡垒主机单连点堡垒主机 6 3 3防火墙的配置 6 3防火墙技术 双连点堡垒主机 Internet 包过滤路由器 信息服务器 堡垒主机 Intranet 6 3 3防火墙的配置 6 3防火墙技术 单连点堡垒主机 Internet 包过滤路由器 信息服务器 堡垒主机 Intranet 6 3 3防火墙的配置 屏蔽主机防火墙的优势与缺陷 6 3防火墙技术 具有双重保护 又较高的安全可靠性 能有选择的允许那些可以信赖的应用程序通过路由器 非常灵活 但他要求考虑堡垒主机和路由器两个方面的安全性 系统的灵活性也会导致走捷径从而破坏安全性 6 3 3防火墙的配置 3 屏蔽子网防火墙 6 3防火墙技术 Internet 外部路由器 信息服务器 堡垒主机 Intranet DMZ 内部路由器 Modem 6 3 3防火墙的配置 屏蔽子网防火墙的特点 6 3防火墙技术 由两个路由器构成一个 非军事区 迫使源于内部主机的业务流和源于外部主机的业务流都必须经过堡垒主机 任何跨越子