返回
防火墙与入侵检测技术课件.ppt

防火墙与入侵检测技术课件.ppt

ID:57186356

大小:183.00 KB

页数:40页

时间:2020-08-02

防火墙与入侵检测技术课件.ppt_第1页
防火墙与入侵检测技术课件.ppt_第2页
防火墙与入侵检测技术课件.ppt_第3页
防火墙与入侵检测技术课件.ppt_第4页
防火墙与入侵检测技术课件.ppt_第5页
资源描述:

《防火墙与入侵检测技术课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章防火墙与入侵检测技术5.1防火墙概述5.1.1防火墙的概念1.防火墙的定义防火墙是指隔离本地网络与外界网络之间的一道防御系统。2.使用防火墙的目的:(1)限制访问者进入被严格控制的点。(2)防止侵入者接近内部设施。(3)限制访问者离开被严格控制的点,有效的保护内部资源。(4)检查、过滤和屏蔽有害的服务。3.防火墙的特征典型的防火墙具有以下三个方面的基本特性:(1)所有进出网络的数据流都必须经过防火墙(2)只有符合安全策略的数据流才能通过防火墙(3)防火墙自身应具有非常强的抗攻击的能力4.防

2、火墙的局限性(1)防火墙不能防范不经过防火墙的攻击。(2)防火墙不能解决来自内部网络的攻击和安全问题。(3)防火墙不能防止策略配置不当或错误配置引起的安全威胁。(4)防火墙不能防止可接触的人为或自然的破坏。(5)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。(6)防火墙不能防止利用服务器系统漏洞所进行的攻击。(7)防火墙几乎不能防范病毒。(8)防火墙不能防止数据驱动式的攻击。(9)防火墙不能防止内部的泄密行为。(10)防火墙不能防止本身的安全漏洞的威胁。(11)防火墙不能防备全部的威胁。5.

3、1.2防火墙的功能1.防火墙的基本功能(1)防火墙是网络安全的屏障(2)防火墙可以强化网络安全策略(3)对网络存取和访问进行监控审计(4)防止内部信息的外泄2.防火墙增值功能(1)内容过滤(2)虚拟专用网络(VPN)。(3)网络地址转换(NAT)。(4)负载均衡。(5)故障忍耐。(6)入侵检测。5.2防火墙技术5.2.1防火墙的类型1.数据包过滤型防火墙数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessCo

4、ntrolTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过

5、滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。2.应用级网关应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计

6、算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。3.代理服务器型防火墙代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由代理服务器上代理程序来实现,外部计算机的网络链路只

7、能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时也常结合过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。4.复合型防火墙由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主

8、机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒主机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒主机成为Internet上其它节点所能到达的惟一节点,这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。5.2.2防火墙的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。