計算機網絡技術計算機網絡安全技術防火墻技術

計算機網絡安全技術防火墻技術目錄CONTENTS一,防火墻概述二,防火墻系統(tǒng)結構一,防火墻概述防火墻是置于不同網絡安全域之間地一系列部件地組合防火墻本身具有較強地抗能力,是提供信息安全服務,實現(xiàn)網絡與信息安全地基礎設施。防火墻本身不是單獨地一個計算機程序或設備。防火墻地定義一,防火墻概述防火墻地分類-按形態(tài)分類軟件防火墻硬件防火墻使用環(huán)境只有防火墻軟件,需要額外地操作系統(tǒng)硬件與軟件地集合,不需要額外地操作系統(tǒng)安全依賴依賴低層操作系統(tǒng)依賴于專用地操作系統(tǒng)網絡適應弱強穩(wěn)定高較高軟件升級方便靈活更新不太靈活一,防火墻概述防火墻地分類-按保護對象分類單機防火墻網絡防火墻產品形態(tài)軟件硬件或軟件安裝點單臺主機網絡邊界安全策略分散在各安全點對整個網絡有效保護范圍單臺主機一個網段管理方式分散管理集管理功能單一復雜多樣安全措施單點全局還可按核心技術分類,分為包過濾防火墻,狀態(tài)檢測防火墻,應用代理防火墻,復合型防火墻。一,數(shù)據(jù)怎么傳一個好地防火墻系統(tǒng)應具有三方面地特一二三所有在內部網絡與外部網絡之間傳輸?shù)財?shù)據(jù)需要通過防火墻;只有被授權地合法數(shù)據(jù)即防火墻系統(tǒng)安全策略允許地數(shù)據(jù)可以通過防火墻防火墻本身不受各種地影響一,防火墻概述防火墻地特一,數(shù)據(jù)怎么傳一,防火墻概述防火墻地局限防火墻不能防范不經過防火墻地,如撥號訪問,內部等;防火墻不能防范利用電子郵件夾帶地病毒等惡程序;防火墻不能解決來自內部網絡地與安全問題;防火墻不能防止策略配置不當或錯誤配置引起地安全威脅;防火墻不能防止利用標準網絡協(xié)議地缺陷行地;防火墻不能防止利用服務器系統(tǒng)漏洞所行地;防火墻不能防止數(shù)據(jù)驅動式地,有些表面看來無害地數(shù)據(jù)郵寄或拷貝到內部網地主機上并被執(zhí)行時,可能會發(fā)生數(shù)據(jù)驅動式地;防火墻不能防止本身安全漏洞地威脅。輸入二級小標題兩個基本部件構成最簡單地防火墻由一個包過濾路由器組成,而復雜地防火墻系統(tǒng)由包過濾路由器與應用級網關組合而成。防火墻系統(tǒng)包過濾路由器PacketFilteringRouter應用級網關ApplicationGateway二,防火墻系統(tǒng)結構輸入二級小標題二,防火墻系統(tǒng)結構包過濾路由器結構圖一零-二包過濾路由器結構示意圖輸入二級小標題二,防火墻系統(tǒng)結構工作流程圖一零-三包過濾防火墻地工作流程優(yōu)點:價格低廉,易于使用。缺點:過濾規(guī)則地創(chuàng)建非常重要,如果配置錯誤則不但不會阻擋威脅,甚至還出現(xiàn)允許某些威脅通過地缺陷;不隱藏內部網絡配置,任何被允許訪問地用戶都可看到網絡地布局與結構;對網絡地監(jiān)視與日志功能較弱。輸入二級小標題二,防火墻系統(tǒng)結構應用級網關防火墻圖一零-四應用級網關防火墻結構示意圖內部網絡外部網絡發(fā)送到外部網絡地數(shù)據(jù)包外部網發(fā)往內部網地數(shù)據(jù)包網絡接口網絡接口應用程序訪問控制概念:應用級網關是在每個需要保護地主機上放置高度專用地應用軟件,實現(xiàn)協(xié)議過濾與轉發(fā)功能。能分析。應用級網關防火墻也是通過特定地邏輯來判斷是否允許數(shù)據(jù)包通過,允許內外網絡地計算機建立直接聯(lián)系,外部網絡用戶能直接了解內部網絡地結構,這給黑客地入侵與提供了機會。輸入二級小標題二,防火墻系統(tǒng)結構雙宿堡壘主機防火墻圖一零-五雙宿堡壘主機防火墻結構圖能分析。雙宿堡壘主機有兩個網絡接口,強行讓出內部網絡地數(shù)據(jù)通過保壘主機,避免了黑客繞過堡壘主機而直接入內部網絡地可能,即使受到,也只有堡壘主機遭到破壞,堡壘主機會記錄日志,有利于問題地查找與系統(tǒng)地維護輸入二級小標題二,防火墻系統(tǒng)結構DMZ防火墻圖一零-七DMZ防火墻結構圖什么是DMZ防火墻。DMZ（DemilitarizedZone,非軍事區(qū)）防火墻也稱為屏蔽子網（ScreenedSub）防火墻,是在內部網絡與外部網絡之間建立一個被隔離地子網。能分析: