网络安全设备应用与实践
时间:2025-07-10
时间:2025-07-10
网络安全设备应用与实践
穆显亮
2012/9/12
课程内容
知识子域:防火墙技术 理解防火墙的作用 理解包过滤技术、状态检测技术和应用代理技术 的原理和优缺点 掌握防火墙选择和使用中的基本注意事项
防火墙技术 什么是防火墙? 为什么需要防火墙? 防火墙的功能 防火墙的典型部署 防火墙的分类 防火墙的工作模式 防火墙的相关技术 防火墙的弱点和局限性 选择防火墙需考虑的要素 防火墙使用中的注意事项4
防火墙技术--什么是防火墙? 在网络间(内部/外部网 络、不同信息级别)提供 安全连接的设备; 用于实现和执行网络之间 通信的安全策略
Internet
防火墙
公司网站
防火墙技术—为什么需要防火墙? 阻止来自不可信网络的攻击 保护关键数据的完整性 维护客户对企业或机构的信任
防火墙技术--防火墙的功能 控制进出网络的信息流向和数据包,过滤不安全 的服务; 隐藏内部IP地址及网络结构的细节; 提供使用和流量的日志和审计功能; 部署NAT(Network Address Translation,网络 地址转换); 逻辑隔离内部网段,对外提供WEB和FTP; 实现集中的安全管理; 提供VPN功能。7
防火墙技术:防火墙的典型部署这是最为普通的企业环境防火墙部署案例。利用防火墙将网 络分为三个安全区域,企业内部网络,外部网络和服务器专 网(DMZ区)。不可信的网络&服务 可信网络 防火墙
Internet Intranet DMZ路由器 公开可访问的服务 & 网络
防火墙技术--防火墙的分类 防火墙从实现方式上来分 ,可分为硬件防火墙和软 件防火墙两类。硬件防火 墙通常部署在内、外部网 络之间,通过软、硬件结 合的方式来达到隔离内、 外部网络的目的;软件防 火墙可以在一个独立的机 器上运行,通过一定的规 则来达到限制非法用户访 问的目的。 从技术的发展阶段来分看 ,防火墙可分为包过滤、 应用代理和状态检测等几 大类型。
状态检测
应用代理
包过滤
防火墙的发展阶段9
防火墙技术--防火墙的相关技术 包过滤技术
应用代理技术 状态检测技术
防火墙的相关技术--包过滤(Packet filter) 在网络层检查数据包 简单的拒绝或接受策略模型 无法识别更高层协议
应用层 表示层
应用层 表示层 会话层 传输层 网络层 网络层 数据链路层 物理层
应用层 表示层
会话层传输层 网络层 数据链路层 物理层
会话层传输层 网络层 数据链路层 物理层
防火墙的相关技术--包过滤(Packet filter) 包过滤防火墙具有以下特点: 优点:
只对数据包的 IP 地址、 TCP
/UDP 协议和端 口进行分析,规则简单,处理速度较快 易于配置 对用户透明-用户访问时不需要提供额外的密 码或使用特殊的命令检查和过滤器只在网络层-不能识别应用层协 议或维持连接状态 安全性薄弱 –不能防止IP欺骗等 静态策略可能成为漏洞12
缺点:
防火墙的相关技术—应用网关或代理( Application Gateway or Proxy) 在应用层检查数据包 能够对应用或内容进行过滤 – 例如:禁止FTP的 “put”命令
防火墙的相关技术—应用网关或代理 ( Application Gateway or Proxy) 应用代理或网关防火墙具有以下特点: 优点: 可以检查应用层、传输层和网络层的协议特征,对 数据包的检测能力比较强 提供良好的安全性 - 所有数据的有效负载都在应 用层进行检查
缺点: 支持的应用数量有限,无法很好的支持新的应 用、技术和协议 对用户不透明度 性能表现欠佳14
防火墙的相关技术--状态检测 (Stateful Inspection) 内置tcp/ip协议状态机,创建状态表用于维护连接 上下文,检查每个会话连接的合法性(是否符合 tcp/ip通信原理和特征)。
能够识别和监听常用动态端口应用的协商过程,从 而自动为动态应用建立通过防火墙的安全连接。
防火墙的相关技术--状态检测( Stateful Inspection)状态检测防火墙具有以下特点: 性能大大提高 支持大量应用 在内核级实现检测过滤 在所有接口对进/出的数据包进行状态检查 支持应用层协议检查 在动态状态表中存储连接状态 检查对外的连接并预先计算出将返回的连接
上一篇:三星笔试模拟试卷分析8_9
下一篇:高一化学必修二乙烯课件