版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
防火墙及其策略防火墙技术简介用来控制采用不同安全策略网络之间的网络流量防火墙越先进,覆盖层次越多防火墙的网络层次防火墙增值功能网络地址转换NATDHCP(动态主机配置协议)加密功能,比如VPN内容过滤功能(有可能被规避掉)邮件附件过滤病毒过滤WEB浏览,如Java、Javascript、ActiveX包过滤防火墙最基本的防火墙包含对系统地址和通信会话进行访问控制的基本路由设备通常工作在第三层现代网络结构中,为了负载均衡和/或高可用性(采用多个防火墙提高网络吞吐量)也可能采用在第二层容易实现HA访问控制功能由一套规则集组成,基于以下网络包信息:源地址目的地址流量类型高层通信会话的一些特征,如传输层会话端口进出路由器设备的端口有时候作为边界路由器使用具有速度、灵活性和阻止DOS攻击的能力包过滤防火墙的一些基本弱点由于不检查高层数据,因此不能防止利用与应用相关的弱点或功能的攻击由于防火墙能得到的信息有限,因此相应的日志功能也有限许多包过滤防火墙不支持用户高级用户鉴定方案由于TCP/IP规范和协议栈存在的问题,这类防火墙比较容易受到攻击由于存在访问控制策略变量,可能遭到违规安全配置包过滤防火墙的应用示例适用场合:高速环境SOHO包过滤规则过滤标准源地址目的地址端口所用协议动作接受否认丢弃状态检测防火墙基于网络第四层的包过滤因为TCP协议的特点,难以用简单的包过滤对数据连接进行控制控制连接端口固定,但实际数据传送的数据连接所用端口是根据控制连接协商的,并不固定,如H.323状态检测防火墙建立动态TCP连接状态表,来验证每次连接。应用代理网关防火墙将低层访问控制功能和高层应用功能结合一起的防火墙无需在防火墙的内外接口间的第三层路由一旦应用代理网关软件不工作,防火墙系统就不能传递包所有通过防火墙的包都必须在应用代理软件的控制下应用代理网关防火墙应用代理网关防火墙特点传统的防火墙规则用户鉴定强大的日志能力安全漏洞少,防地址欺骗能力强应用代理网关防火墙缺点速度慢不适于高带宽或实时应用应用和协议的支持能力限制专用代理防火墙专用代理防火墙和应用代理防火墙的区别在于它保留了对网络流量的代理控制,但是它不包含防火墙能力。因为这个原因,它们常用在传统防火墙后面。过程和作用主防火墙接收到入口网流时,判断要送到哪个应用,然后将此流量送到相应地代理服务器,如邮件代理服务器代理服务器对此网络流量进行过滤和日志功能后,送到内部系统中代理服务器也可以接收来自内部的网络流量,经过过滤、日志后交给主防火墙一般来讲,代理服务器用来减轻主防火墙的负载,并进行专门的过滤和日志比如HTTP代理专用代理防火墙目的加强用户身份鉴别进行专门的过滤和日志减轻主防火墙的负载可以限制到特定地方的出口流量,并检查流量内容JAVAApplet或应用过滤ActivX控制过滤JavaScript过滤阻断具体的MIME类型病毒过滤和删除应用相关命令的过滤用户相关的控制降低性能,提高管理成本专用防火墙系统配置混合防火墙在单一防火墙系统中融合多种防火墙功能。基于主机的防火墙用来保护单台主机/服务器为限制进出主机的流量提供访问控制能力低成本好处更好地保护应用无须为主机单独配置防火墙和划分子网个人防火墙/个人防火墙应用用来保护家庭用户系统个人防火墙:直接安装在要保护的系统上个人防火墙应用:类似传统防火墙,用来保护一个小网络CableModem路由器LAN路由器DHCP服务器…防火墙的环境考虑NATDMZ网络VPN网络边界定义IDSDNS各类服务器的放置防火墙的应用策略和管理NAT解决两个安全问题:隐藏防火墙后面的内部网络地址规划根据RFC1918,解决可路由地址不足问题三种实现方式:静态NAT:每个内部地址都有一个对应的外部可路由地址。由于地址资源紧张,较少使用隐藏NAT:所有内部系统共享相同的外部可路由IP地址。较为常用内部资源不能被外部共享所有内部资源都使用防火墙外部接口地址,不灵活PAT(PortAddressTranslation)无须使用防火墙外部接口地址可以选择内部某些资源对外共享,将通过某个端口的入口连接映射到具体的主机上最安全,最方便DMZ网络DMZ定义:作为内外网都可以访问的计算机系统和资源的连接点,这些系统和资源不能放置在内部保护网络内。DMZ网络另一种典型配置VPN(VirtualPrivateNetwork)VPNVPN常用协议IPsecPPTPL2TPVPN服务器的设置防火墙上性能问题防火墙后密文过滤问题网络边界的定义外联网(Extranet)内网(Intranet)IDSDNS分割DNS各类服务器的放置原则:采用边界路由器/包过滤器保护外部服务器不将对外部可访问的服务器放置在内部保护网络中将内部服务器按照其安全敏感程度和访问需求放置在内部防火墙后面隔离服务器以避免对特定服务器的攻击波及到网络其余部分各类服务器的放置防火墙的HA提高系统的可靠性防火墙方案设计指南尽量简单根据设备功能用其所用不将防火墙用作其它意图不将路由器作防火墙用深层防御采用多层安全而不是单级安全不将所有安全功能都置于防火墙内部利用路由器的过滤功能采用主机防火墙防止内部威胁防火墙安全策略防火墙策略防火墙规则
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 信息技术与学科教学融合课教学设计表
- 温州市泰顺县招聘卫生健康事业单位专业技术人员考试试卷及答案
- 临沂市郯城县部分医疗卫生事业单位招募人员考试试卷及答案
- 古蔺县事业单位招聘工作人员考试试卷及答案
- 端午节活动方案集合八篇
- 七夕想念情人寄语
- 新学期的计划范例集合9篇
- 新学期学习计划范文十篇
- 电子的实习报告范文集锦5篇
- 《所仪的世界》读后感
- 人教版六年级数学上册【分层作业】3.4 分数混合运算(同步练习) 六年级上册数学同步课时练 (人教版含答案)
- AxureRP9网站与App原型设计(全彩慕课版)-教学教案
- 2023年营养师、营养指导员专业技能及理论知识考试题库(附含答案)
- 产品不良品(PPM)统计表格模板
- 土木工程施工-施工组织课程设计
- 军用无人机概述课件
- 讲师教练技术第一阶段导师讲义版本五
- 灶具安装熄火保护合同范本
- 《财务共享实务》课程期末考试题库及答案
- 门诊药房运用PDCA循环提高门诊药房用药交代率品管圈(QCC)活动成果报告书
- 2023学年完整公开课版aoouiu 省赛获奖
评论
0/150
提交评论