防火墙概述.pptx
《防火墙概述.pptx》由会员分享,可在线阅读,更多相关《防火墙概述.pptx(15页珍藏版)》请在冰点文库上搜索。
防火墙概述网络安全与电子商务网络安全与电子商务防火墙概述o什么是防火墙o防火墙的作用o防火墙相关概念o防火墙的种类o防火墙基本的安全保护规则什么是防火墙o防火墙是指设置在不同网络(如可信任的企业内部网和不可信人的公共网)或网络安全域之间实施安全防范的系统。
o在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
内部网INTERNET防火墙的作用o防火墙是网络安全的屏障n通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响;n作为堵塞点和控制点,防火墙能极大地提高内部网络的安全性,同时起到了对服务器和内部计算机的保护作用。
o防火墙可以强化网络安全策略n防火墙不仅可以执行站点的安全策略,只容许“认可的”和符合规则的请求通过。
而且通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
o对网络存取和访问进行监控审计n如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
而且系统可以使用该统计数据进行网络需求和网络威胁的分析。
o防止内部信息的外泄n防火墙可以防止攻击者利用专门的服务命令,譬如,Finger,Ping来获取内部用户信息和网络相关信息等。
防火墙相关概念o主机n与网络系统相连的计算机系统。
o堡垒主机n是指一个计算机系统,它对外部网络(互联网络)暴露,同时又是内部网络用户的主要连接点,所以非常容易被侵入,因此这个系统需要严加保护。
o双宿主主机n具有至少两个网络接口的通用计算机系统。
通常把它当作堡垒主机。
o路由n为转发的包分组选择正确的接口和下一个路径片段的过程。
o路由器n数据包是通过互联网络中的路由器,从源网络到达目的网络的。
路由器接收到数据包就知道该包要去往何处,然后路由器查询自身的路由表,若有去往目的的路由,则按照一定的原则选择下一个目标地址,并将数据包按该地址发送到下一个路由器或直接发往下一个网段,否则,将该包丢掉。
防火墙相关概念o包过滤n计算机设备对进出网络的数据流进行有选择的控制与操作。
用户可以设定一系列的规则,指定允许哪些类型的数据包可以流人或流出内部网络(例如只允许来自某些指定的IP地址的数据包或者内部网络的数据包可以流向某些指定的端口)。
包过滤操作可以在路由器上进行,也可以在网桥,甚至在一个单独的主机上进行。
o代理服务器n代表内部网络用户与外部网络服务器进行信息交换的程序。
它将内部用户的请求送达外部服务器,同时将外部服务器的响应再回送给用户。
简单过滤逻辑规则集规则号协议传输协议源IP源端口目的IP目的端口动作l入站HTTPTCP任意任意10.1.1.180允许2入站HTTPTCP任意任意10.1.1.1443允许3出站HTTPTCP10.1.1.180任意任意允许4出站HTTPTCP10.1.1.1443任意任意允许防火墙种类o包过滤型o应用代理型o复合型oNAT技术包过滤型防火墙o包过滤(PacketFiltering)技术是在网络层和传输层对数据包进行控制,控制的依据是系统内设置的,被称为访问控制表(AccessControlTable)的过滤逻辑。
通过检查每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
o包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。
内部网INTERNET过滤路由器包过滤型防火墙的特点o包过滤防火墙不用改动客户机和主机上的应用程序即可达到安全控制的目的。
o因为包过滤防火墙工作在IP和TCP层,所以处理包的速度要比代理服务型防火墙快。
o因为只涉及到TCP层,所以与代理服务型防火墙相比,它提供的安全级别很低。
o不支持用户认证,包中只有来自哪台机器的信息却不包含来自哪个用户的信息。
o不提供日志功能。
o由于包过滤系统处于网络的IP层和TCP层,而不是应用层,因此,包过滤安全策略存在以下限制:
n只能规定是否可以进行某项应用操作。
譬如:
不让任何工作站从外部网用Telnet登录、允许任何工作站使用SMTP往内部网发电子邮件。
n无法对应用层的具体操作进行任何过滤。
以FTP为例,FTP文件传输协议应用中包含读取、写入、删除等许多具体的操作,包过滤无法允许用户使用FTP,同时还限制用户只可读取文件不可写入文件。
n包过滤系统不能识别数据包中的用户信息,因此,它无法允许某个用户使用Telnet登录而不允许其他用户进行这种操作。
o包过滤防火墙的缺点n非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;n数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。
应用代理型o代理服务(ProxyService)型防火墙系统一般安装并运行在双宿主机上。
双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。
o代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。
因此,它通常由两部分构成,服务器端程序和客户端程序。
客户端程序与中间节点(ProxyServer)连接,中间节点再与要访问的外部服务器实际连接。
内部网INTERNET代理服务器应用代理型o应用代理型防火墙的特点n内部网与外部网之间不存在直接的连接;n提供日志(Log)及审计(Audit)服务;n代理服务运行在应用层,能够实施对用户身份和具体操作权限的控制。
o应用代理型防火墙的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,他也通不过严格的身份认证。
因此应用网关比报文过滤具有更高的安全性。
但是这种认证使得应用网关不透明,用户每次连接都要受到“盘问”,这给用户带来许多不便。
代理服务器内部用户外部服务器感觉的连接实际的连接复合型防火墙o由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型(Hybrid)防火墙产品。
NAT技术o网络地址转换器(NetworkAddressTranslation,NAT)就是在防火墙上装一个合法IP地址集。
当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。
oNAT的作用n该技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构。
nNAT的另一个显而易见的用途是解决IP地址匮乏问题。
防火防基本的安全保护规则o一切未被允许的就是禁止的。
n基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。
这是一种非常实用的方法,可能造成一种十分安全的环境,因为只有经过仔细挑选的服务才被允许使用。
安全性高于用户使用的方便性,其弊端是限制了用户所能使用的服务范围。
o一切未被禁止的就是允许的。
n基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。
这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。
其弊端是,在日益增多的网络服务面前。
网管人员疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。
谢谢观看!
谢谢观看!
谢谢观看!
谢谢观看!
网络安全与电子商务网络安全与电子商务
升级会员 