防火墙技术和VPN

第五章防火墙技术和VPN 防火墙技术 第一节防火墙技术概述 防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软 件,目的是保护网络不被可疑人侵扰。 本质上说,它遵从的是一种允许或阻止 业务来往的网络通信安全机制,也就是 提供可控的过滤网络通信,只允许授权 的通信。 在逻辑上,防火墙是一个分离器、一个限制器、也是一个分析器,有效地监控内部网和 Internet之间的任何活动,保证内部网络的安 从物理上讲,防火墙通常是一组硬件设备(路由器、主机)和软件的多种组合。 任何一个好的防火墙必须具备以下三个特性: 所有在内部网络和外部网络之间传输的数据必须通过防火墙; 只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。 作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类 型等标志确定是否允许数据包通过。只 有满足过滤逻辑的数据包才被转发到相 应的目的地出口端,其余数据包则被从 数据流中丢弃。 作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足 过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包 则被从数据流中丢弃。 包过滤防火墙遵循“最小特权原则”,即明确允许那些管理员希望 通过的数据包通过,而禁止其他的数据包通过。 网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作 用。代理服务器作为内部网络客户端的服务器, 拦截住所有请求,并向代理客户转发;代理客 户负责代表内部客户端向外部服务器发出请求, 并将从外部服务器获得的响应向代理服务器转 发;最后,代理服务器将获得的响应转发给内 部真实的客户端。 代理服务器有应用层代理防火墙和电路层代理防火墙两种。 结合使用包过滤防火墙和代理防火墙,以取长补短。 复合防火墙主要有屏蔽主机防火墙体系结构和屏蔽子网防火墙体系结构。 第三节防火墙的主要技术 包过滤技术是防火墙最基本的功能,现在防火墙已经由最初的地址、端口判定 控制,发展到判断通信报文协议头的各 部分,以及通信协议的应用层命令、内 容、用户认证、用户规则甚至状态监测 包过滤技术包括,静态包过滤和动态包过滤。 在应用网关上运行应用代理程序,一方面代替原来的客户建立连接,另一方面 代替原来的客户程序,与服务器建立连 接,使得用户可以通过应用网关安全地 使用Internet服务,而对于非法用户的请 求将不予理睬。 防火墙采用包、应用网关、电路网关的三级过滤措施。在包过滤一级,能过滤 掉所有的源路由分组和假冒的IP源地址; 在应用网关一级,能利用FTP、SMTP等 各种网关,控制和监测Internet提供的所 有通用服务;在电路网关一级,实现内 部主机与外部站点的透明连接,并对服 务的执行严格的控制。 NAT是一种用于把内部IP地址转换成临时的、外部的IP地址的技术。当不同的内 部网络向外连接时使用相同的IP地址, 而内部网络互相通信时则使用内部IP地 由于防火墙直接串接在网络之中,它必须支持用户在Internet上的所有服务,同 时还要防止与Internet服务有关的安全漏 洞。故它要能以多种安全的应用服务器 (包括FTP、Finger、Mail、Ident、 News、WWW等)来实现网关功能。 防火墙采用分别保护的策略保护对外服务器,它利用一张网卡将对外服务器作 为一个独立网关完全隔离。SSN与外部网 之间有防火墙保护,SSN与内部网之间也 有防火墙保护,一旦SSN受到破坏,内部 网络仍会处于防火墙的保护之中 现在的防火墙产品的审计和告警功能已十分完善,都包含日志文件详细记录网 络通信信息,日志文件包括:一般信息、 内核信息、核心信息、接收邮件、邮件 路径、发送邮件、已收消息、已发消息、 连接需求、已鉴别的访问、告警条件、 管理日志、进站代理、FTP代理、出站代 理、邮件服务器、域名服务器等。 第四节防火墙的体系结构 屏蔽路由器(ScreeningRouter),包过滤路 由器,是最简单、最常见的防火墙。它位于内 部网络和外部网络之间。 依靠一个单一的部件保护系统,一旦部件出现问题,会使网络的大门敞开。 失效安全原则:如果一个分组不满足任何规则,则该分组被阻塞。 由于它本身就是一台主机,可以用于身份验证、代理服务等多重功能。 屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿 堡垒主机两种类型。 DMZ是英文“demilitarizedzone”的缩写, 中文名称为“隔离区”,也称“非军事 防火墙与Web服务器之间的配置策略 访问控制描述符:流向;服务;指定主机;用户个人;时间;公用或私用;服 务质量 支持的LAN接口类型(如以太网、快速以态网、千兆以太网、ATM等)。 建立VPN通道所需要的协议:如IPsec、PPTP、专用协议等。 认证支持:是指防火墙支持的身份认证协议,一般情况下具有一个或多个认证方案,如口令 方式、数字证书等。 通过防火墙的包内容设置。(TCP、UDP、ICMP、IP) 在应用层提供代理支持。指防火墙是否支持应用层代理,如 HTTP、FTP、TELNET、SNMP等。 阻止ActiveX、Java、Cookies、Javascript侵入。 提供自动日志扫描。指防火墙是否具有日志的自动分析和扫描功能,这可以获得更详细的统计结果, 达到事后分析、亡羊补牢的目的。 用专用芯片处理数据包,CPU只作管理。使用专用的操作系统平台。 NetScreen-25、Netscreen-204、NetScreen-208、NetScreen-500、NetScreen-5000 采用专用或通用操作系统。核心技术是软件,容易产生网络带宽瓶颈。只能满足低带宽要 求,吞吐量不高。可达到理论值的20%-70 Pix501、Pix502、Pix515e、Pix525、Pix535。性能由低到高。 由于操作系统平台的限制,极易造成网络带宽瓶颈。可达到理论值的20%-70%。 CheckPoint的Firewall-1、FillWall-1/VPN-1SecureSever、FireWall-1/VPN-1 Gateway和VPN- 1/FireWall-1 SmallOffice。 第七节防火墙的发展趋势 分布式防火墙:把网络防火墙的功能进行细化和简化后,得到成本较低、功能专一的防 火墙,分布在整个企业网中保护每一个子网 节点。企业网内部各子网结点的通信都受到 防火墙的控制,有效防止了对内部各子网间 的攻击企图。

防火墙技术和VPN 内容详尽,但请以实际操作为准,欢迎下载使用

文档格式:
.ppt
文档页数:
55页
文档大小:
209.5K
文档热度:
文档分类:
中学教育 --  初中教育
文档标签:
防火墙技术 VPN 奥数

更多>> 相关文档