仅供复习使用,防火墙技术的相关内容
1.防火墙的定义:它是不同网络安全域之间通信的唯一通道,能根据用户设置的安全策略控制进出网络的访问行为。
它只是一个保护装置,通过检测和控制网络之间的信息交换的访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
2.防火墙应具备以下三个基本特性:
内部网络和外部网络之间的所有网络数据流都必须经过防火墙
只有符合安全策略的数据流才能通过防火墙
防火墙自身应具有非常强的抗攻击能力
3.防火墙的功能
阻止易受攻击的服务进入内部网络
集中安全管理
对网络存取和访问进行监控审计
检测扫描计算机的企图
防范特洛伊木马
防病毒功能
4.防火墙的局限性
入侵者可以伪装数据绕过防火墙或找到防火墙中可能开启的后门
无法防止来自内部的袭击
不具备实时监控的能力
不能防御所有新的威胁
5.按防火墙软硬件分类,软+硬+芯片
6按防火墙技术分类
.包过滤型:在网络层和传输层
根据源地址,目的地址,端口号,协议类型等标志确定是否允许通过
应用代理型:
在应用层
完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用
7.防火墙技术
包过滤技术
代理服务技术
状态检测技术
NAT技术
8.防火墙的体系结构
堡垒主机体系结构:作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决。
应遵循的原则:最简化原则,预防原则
加强内部网的安全性:在内部网主机上操作控制机制,或者在内部网与堡垒主机间设置包过滤机制
双宿主主机体系结构:装有两个网卡的堡垒主机构成
优点:结构简单,易于实现,并且具有高度的安全性
实现方案:应用层数据代理:用户直接登录到双宿主主机;应用层代理服务:在双宿主主机 上运行代理服务器
屏蔽主机体系结构:主机过滤还有一台单独的过滤路由器
屏蔽子网体系结构:在屏蔽主机体系结构中的内部网和外部网之间再增加一个被隔离的子网
用边界网络来隔离堡垒主机与内部网,能减轻入侵者在攻破堡垒主机后带给内部网的压力
9.防火墙的部署:
设计原则:
1.保持设计的简单性
2.安排事故计划
10.防火墙技术的发展趋势:
1.身份认证技术
2.多级过滤技术
3.防病毒 技术
课后习题:
