第12章防火墙教资特选

《第12章防火墙教资特选》由会员分享，可在线阅读，更多相关《第12章防火墙教资特选（58页珍藏版）》请在装配图网上搜索。

1、第十二章第十二章 防火墙技术防火墙技术何路何路 http:/dc-security.org 1教学教资计算机网络安全计算机网络安全何路何路http:/dc-security.org 本章要求本章要求计算机网络安全计算机网络安全何路何路http:/dc-security.org 本节主要内容本节主要内容计算机网络安全计算机网络安全何路何路http:/dc-security.org 建筑业中的防火墙建筑业中的防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org IT领域中的防火墙领域中的防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.o

2、rg 防火墙功能示意防火墙功能示意安全网域一安全网域二计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙主要功能防火墙主要功能计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙不能防范的攻击防火墙不能防范的攻击计算机网络安全计算机网络安全何路何路http:/dc-security.org 衡量防火墙三大要求衡量防火墙三大要求计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙发展历程防火墙发展历程计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙基本结构

3、防火墙基本结构计算机网络安全计算机网络安全何路何路http:/dc-security.org 本节主要内容本节主要内容计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙分类防火墙分类计算机网络安全计算机网络安全何路何路http:/dc-security.org 包过滤防火墙包过滤防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org 静态包过滤防火墙静态包过滤防火墙 传输层传输层 传输层传输层 传输层传输层 计算机网络安全计算机网络安全何路何路http:/dc-security.org 路由与包过滤路由与包过滤Host A外部网

4、络Sever X计算机网络安全计算机网络安全何路何路http:/dc-security.org 包过滤所检查的内容包过滤所检查的内容计算机网络安全计算机网络安全何路何路http:/dc-security.org 包过滤配置包过滤配置计算机网络安全计算机网络安全何路何路http:/dc-security.org 规则制定的策略规则制定的策略允许拒绝允许拒绝计算机网络安全计算机网络安全何路何路http:/dc-security.org 规则制定的策略规则制定的策略计算机网络安全计算机网络安全何路何路http:/dc-security.org 依赖于服务的过滤依赖于服务的过滤计算机网络安全计算机网络

5、安全何路何路http:/dc-security.org 按规则过滤按规则过滤计算机网络安全计算机网络安全何路何路http:/dc-security.org 按规则过滤按规则过滤计算机网络安全计算机网络安全何路何路http:/dc-security.org 推荐的规则推荐的规则计算机网络安全计算机网络安全何路何路http:/dc-security.org 静态包过滤的优缺点静态包过滤的优缺点计算机网络安全计算机网络安全何路何路http:/dc-security.org 动态包过滤动态包过滤计算机网络安全计算机网络安全何路何路http:/dc-security.org 计算机网络安全计算机网络安全

6、何路何路http:/dc-security.org 使用动态包过滤制定的规则使用动态包过滤制定的规则计算机网络安全计算机网络安全何路何路http:/dc-security.org 动态包过滤的优缺点动态包过滤的优缺点计算机网络安全计算机网络安全何路何路http:/dc-security.org 计算机网络安全计算机网络安全何路何路http:/dc-security.org 代理服务技术代理服务技术计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理防火墙应用代理防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理防火

7、墙应用代理防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理应用代理计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理防火墙应用代理防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理的优缺点应用代理的优缺点计算机网络安全计算机网络安全何路何路http:/dc-security.org 计算机网络安全计算机网络安全何路何路http:/dc-security.org 电路级代理电路级代理计算机网络安全计算机网络安全何路何路http:/dc-security.org 应用代理

8、应用代理FTP服务服务计算机网络安全计算机网络安全何路何路http:/dc-security.org 电路级代理优缺点电路级代理优缺点计算机网络安全计算机网络安全何路何路http:/dc-security.org 计算机网络安全计算机网络安全何路何路http:/dc-security.org NAT防火墙防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org NAT防火墙防火墙计算机网络安全计算机网络安全何路何路http:/dc-security.org NAT（网络地址翻译）网络地址翻译）计算机网络安全计算机网络安全何路何路http:/dc-security.o

9、rg NAT的优缺点的优缺点计算机网络安全计算机网络安全何路何路http:/dc-security.org 本节主要内容本节主要内容计算机网络安全计算机网络安全何路何路http:/dc-security.org 防火墙布置防火墙布置计算机网络安全计算机网络安全何路何路http:/dc-security.org 包过滤路由包过滤路由内部网络内部网络外部网络外部网络包过滤路由器计算机网络安全计算机网络安全何路何路http:/dc-security.org 双宿双宿/多宿主机模式多宿主机模式计算机网络安全计算机网络安全何路何路http:/dc-security.org 双宿双宿/多宿主机模式多宿主机

10、模式内部网络内部网络外部网络外部网络应用代理服务器完成：应用代理服务器完成：对外屏蔽内网信息对外屏蔽内网信息设置访问控制设置访问控制对应用层数据严格检查对应用层数据严格检查计算机网络安全计算机网络安全何路何路http:/dc-security.org 计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽主机屏蔽主机内部网络内部网络外部网络外部网络计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽主机屏蔽主机计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽子网屏蔽子网内部网络内部网络外部网络外部

11、网络计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽子网屏蔽子网1 1）周边网络：非军事化区、停火区（）周边网络：非军事化区、停火区（DMZDMZ）l周边网络是另一个安全层周边网络是另一个安全层,是在外部网络与是在外部网络与内部网络之间的附加的网络。内部网络之间的附加的网络。l对于周边网络，如果某人侵入周边网上的堡对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。垒主机，他仅能探听到周边网上的通信。2 2）内部路由器（阻塞路由器）：保护内部的）内部路由器（阻塞路由器）：保护内部的网络使之免受网络使之免受InternetInternet

12、和周边子网的侵犯。和周边子网的侵犯。它为用户的防火墙执行大部分的数据包过滤它为用户的防火墙执行大部分的数据包过滤工作工作计算机网络安全计算机网络安全何路何路http:/dc-security.org 屏蔽子网屏蔽子网l3 3）外部路由器：在理论上，外部路由器）外部路由器：在理论上，外部路由器保护周边网和内部网使之免受来自保护周边网和内部网使之免受来自InternetInternet的侵犯。实际上，外部路由器倾的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。且它们通常只执行非常少的数据包过滤。l外部路由器安全任务之一是：阻止从外部路由器安全任务之一是：阻止从InternetInternet上伪造源地址进来的任何数据包。上伪造源地址进来的任何数据包。计算机网络安全计算机网络安全何路何路http:/dc-security.org 计算机网络安全计算机网络安全何路何路http:/dc-security.org 小结小结