版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
防火墙基础知识介绍防火墙基础防火墙的定义边界设备安全域之间的唯一出入口一套的安全策略一系列的防范措施一种有效的网络安全模型防火墙基础防火墙的作用保护内部网络限制内部人员对外的访问建立安全通道制定安全策略防火墙基础防火墙模型OSI/RM防火墙应用层网关级表示层会话层传输层电路级网络层路由器级数据链路层网桥级物理层中继器级防火墙基础防火墙的基本安全策略拒绝没有特别允许的任何事情允许没有特别拒绝的任何事情防火墙基础对防火墙技术的评价好处集中的网络安全可作为中心“扼制点”产生安全报警监视并记录Internet的使用NAT的理想位置WWW和FTP服务器的理想位置防火墙基础对防火墙技术的评价不足无法防范通过防火墙以外的其它途径的攻击无法防范来自内部的攻击防火墙无法防范数据驱动型的攻击防火墙基础防火墙技术现状综合类技术的防火墙,非单独的包过滤或者应用代理对数据进行加解密在TCP/IP协议层进行各项安全控制防火墙关键技术概述包过滤技术过滤包头信息根据路由规则拒绝或允许数据包转发与服务有关的过滤与服务无关的过滤防火墙关键技术概述包过滤技术优点在标准路由器软件中包含费用少缺点定义数据包过滤器会比较复杂随着过滤器数目的增加,路由器的吞吐量会下降IP包过滤器可能无法对网络上流动的信息提供全面的控制防火墙关键技术概述代理技术应用网关技术堡垒主机优点对服务进行全面的控制支持可靠的用户认证容易配置和管理缺点要求用户安装代理客户端防火墙关键技术概述状态监测技术根据分组的属性和状态表进行网络传输控制决策优点检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充可以监测RPC、和UDP之类的端口信息缺点不能根据实际传输的数据内容进行判断配置比较复杂、会降低网络速度防火墙关键技术概述地址转换技术(NAT)内部外部地址转换,隐藏内部IP地址单向NAT双向NAT防火墙关键技术概述VPN技术虚拟专用网在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。保证数据的真实性保证数据的完整性保证通道的机密性提供动态密匙交换功能提供安全防护措施和访问控制防火墙关键技术概述VPN技术虚拟专网标准IPSec、PPTP、L2TP优点是性能价格比比较高的安全方式大多数的VPN产品可以在网络连接中透明地配置,而不需要修改网络或客户端的配置IPSecVPN是最安全和流行的选择不足应用时间还不是很长不同厂商的执行方式不同防火墙的体系结构包过滤路由器完成数据包转发的基本路由功能利用包过滤规则控制数据包的通过防火墙的体系结构双重宿主主机结构 双宿堡垒主机有两个网络接口,但是主机在两个端口之间直接转发信息的功能(其能旁路代理服务)被关掉了。这种物理结构强行将让所有去往内部网络的信息经过堡垒主机,并且在外部用户被授予直接访问信息服务器的权利时,提供附加的安全性。防火墙的体系结构屏蔽主机结构采用了包过滤路由器和堡垒主机组成。它实现了网络层安全(包过滤)和应用层安全(代理服务)。所以入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。防火墙的体系结构DMZ或屏蔽子网结构定义了“非军事区”(DMZ)网络,支持网络层和应用层安全功能。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统,而通过DMZ网络直接进行信息传输是严格禁止的。常见的防火墙产品介绍CheckPoint简介CheckPoint
FireWall1,软件防火墙,可以与其他硬件捆绑(Nokia)支持广泛的应用程序开放式结构设计为扩充新的应用程序提供了便利集中管理下的分布式客户机/服务器结构网络安全的新模式——StatefulInspection技术常见的防火墙产品介绍CheckPoint简介远程网络访问的安全保障(FireWall-1SecuRemote)鉴定SecuRemote远程加密功能虚拟专用网络集成的、易操作的密钥管理程序实时报警集成管理常见的防火墙产品介绍CiscoPIX简介Cisco自己开发的防火墙操作系统PIX运行了代理ARP,给外部网络层IP地址指定数据链路MAC地址对TCP信息包的序列编号进行随机化处理,防止IP地址欺骗常见的防火墙产品介绍NetScreen简介控制允许或拒绝访问的基于地址的信息以硬件为基础,将防火墙虚拟专用网VPN和流量管理系统等几类功能集成在一起使用一个内部设计的专用集成电路(ASIC)可以作为部署NAT目的地址转换的逻辑地址,因此可以用来有效解决网络地址匮乏的问题是具有安全可靠的身份认证检测、实用的策略管理控制机制、灵活的四种应用模式、DMZ区的设计、负载平衡、流量控制、虚拟专用网等概念的新一代硬件网络防火墙。常见的防火墙产品介绍NetScreen简介NetScreen产品netscreen-5:提供5M带宽的吞吐能力,支持10-25个用户的连接。具有防火墙和VPN功能。NetScreen-10:提供10M带宽的吞吐能力。NetScreen-100:提供100M带宽的吞吐能力。NetScreen-1000:提供100M带宽的吞吐能力。NetScreenGlobalManagerForWindowsNT:具有对NetScreen
完整的Internet解决方案进行集中的管理的能力。
对防火墙的攻击IP地址欺骗突破防火墙系统最常用的方法伪造的IP发送地址产生虚假的数据分组,乔装成来自内部站的分组过滤器,对防火墙的攻击TCP序号攻击是绕过基于分组过滤方法的防火墙系统的最有效和最危险的方法之一这种攻击基于在建立TCP连续时使用的三步握手序号它假定利用前面叙述过的IP地址欺骗可以从外部把伪造的IP分组送入内部计算机系统对防火墙的攻击IP分段攻击采用数据分组分段的办法,数据包发送后,并不立即重新组装单个的分段,而是把它们路由到最终目的地,只在这时才把它们放在一块给出原始的IP分组被分段的分组是对基于分组过滤防火墙系统的一个威胁,它们把它们的路由判决建立在TCP端口号的基础上,因为只有第一个分段标有TCP端口号,而没有TCP号的分段是不能被滤除的。可以使用修改过的TCP实现来分析不完整的分段序列,藉此绕过防火墙系统对防火墙的攻击基于附加信息的攻击使用端口80(HTTP端口)传送内部信息给攻击者这种攻击完全可以通过防火墙实现,因为防火墙允许HTTP通过且又没有一套完整的安全办法确定HTTP报文和非HTTP报文之间的差异。对防火墙的攻击基于堡垒主机web服务器的攻击把堡垒主机web服务器转变成避开防火墙内外部路由器作用或影响的系统。它也可用于发动针对下一层保护的攻击,观察或破坏防火墙网络内的网络通信量,或者在防火墙只有一个路由器的情况下完全绕过防火墙IP隧道攻击IP隧道攻击即在端口80(或者其它任意防火墙允许信息包通过的端口)发送能产生穿过防火墙的IP隧道的程序。对防火墙的攻击计算机病毒攻击计算机病毒是一种把自身附加在程序之上对原先程序加以改变的代码段。它只是在程序开始运行时执行,然后复制其自身,并在复制中影响其他程序。病毒可以以多种形式穿越防火墙,比如通过email、比如通过客户机的浏览器等等。对防火墙的攻击特洛伊木马攻击特洛伊木马是藏匿在某一合法程序内完成伪装预定功能的代码段。它可作为藏匿计算机病毒、蠕虫或其他恶意程序的方式,但多数时间被用于绕过诸如防火墙这样的安全屏障对防火墙的攻击报文攻击利用重定向报文进行攻击重定向报文可改变路由器,路由器根据这些报文建议主机走另一条“更好”的路径。利用重定向报文把连接转向一个黑客或攻击者控制的主机,或使所有报文通过他们控制的主机来转发防火墙的其他功能防火墙负载均衡技术单一的防火墙引入会导致新的新的单一故障点,所以在高负载且非常重要的服务器前端,我们还应该使用防火墙负载衡技术防火墙的其他功能防火墙的VPN功能采用TCP/IP安全技
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 餐饮业解除劳动合同样本
- 农业技术聘用合同证明
- 仓储管理租赁代理合同
- 建筑行业专家聘用合同
- 小区玻璃施工合同范例
- 音响技术员劳动合同三篇
- 配电柜制造设备承揽合同三篇
- 音乐录制与发行合同三篇
- 退伙合同协议书范本甲乙丙
- 集体宿舍租赁合同一般写几字
- 路虎发现4说明书
- 肾破裂保守治疗护理查房
- 2024年避孕药具计划总结
- 新闻摄影课件
- 德能勤绩考核表
- 收纳箱注塑模具设计说明书
- Python数据科学方法与实践(山东联盟)智慧树知到课后章节答案2023年下山东师范大学
- 河南省郑州市管城区卷2023-2024学年数学四年级第一学期期末联考试题含答案
- 班主任考核细则评分表
- 2023教科版二年级上册科学课堂作业本参考答案
- 乘坐飞机申请单
评论
0/150
提交评论