第5章防火墙技术PPT课件.pptVIP

  1. 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
* 安全的应用服务 由于是直接串连在网络中,防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。 在匿名FTP方面,服务器只提供对有限的受保护的部份目录的只读访问。 在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。 SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理,并利用邮件映射与标头剥除的方法隐去内部的邮件环境。 Telnet服务器对用户连接的识别作专门处理。 网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。 新一代防火墙的主要技术 * 安全服务器网络(Security Server Network) 第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护。它将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就是安全服务器网络(SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。 新一代防火墙的主要技术 * SSN的方法提供的安全性要比传统的隔离区(DMZ)方法好,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。 新一代防火墙的主要技术 * 用户鉴别与加密 为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。 新一代防火墙的主要技术 * 用户定制服务 为满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有通用TCP、出站UDP、FTP以及SMTP等类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设置。 新一代防火墙的主要技术 * 审计和告警 新一代防火墙产品的审计和告警功能十分健全,日志文件包括一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器和域名服务器等。 告警功能以发出邮件、声音等多种方式报警。 此外新一代防火墙还在网络诊断,数据备份与保全等方面具有特色。 新一代防火墙的主要技术 * 第5章 防火墙技术 防火墙技术概述 防火墙的分类 新一代防火墙的主要技术 防火墙体系结构 防火墙技术发展动态和趋势 防火墙的选购和使用 防火墙产品介绍 * 防火墙体系结构 屏蔽路由器(Screening Router)结构 屏蔽路由器结构是防火墙最基本的结构。它可以用路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通过检查。路由器上可安装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。屏蔽路由器对用户透明,而且设置灵活,所以应用比较广泛。这种体系结构存在以下缺点: * 屏蔽路由器示意图 防火墙体系结构 * 没有或只有很简单的日志记录功能,网络管理员很难确定网络系统是否正在被攻击或已经被入侵。 规则表随着应用的深化会变得大且复杂。 依靠一个单一的部件来保护网络系统,一旦部件出现问题,会失去保护作用,而用户可能无察觉。 防火墙体系结构 * 双穴主机网关(Dual Homed Gateway)结构 这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连,每块网卡都有独立的IP地址。堡垒主机上运行着防火墙软件(应用层网关),可以转发应用程序,也可提供服务等功能。 防火墙体系结构 * 双穴主机网关优于屏蔽路由器的地方是堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查非常有用,但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。 双穴主机网关的缺点是一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内部网络。 防火墙体系结构 * 双穴主机示意图 防火墙体系结构 * 屏蔽主机网关(Screened Host Gateway)结构 屏蔽主机网关易于实现也很安全,因此应用广泛。屏蔽主机网关包括一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机设置成从外部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。 防火墙体系结构 * 电路层网关常用于向外连接,这时网络管理员对其内部用户是信任的。电路层网关防火墙可以被设置成混合网关,对内连接

文档评论(0)

177****6330 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档