防火墻技術(shù)原理_第1頁(yè)
防火墻技術(shù)原理_第2頁(yè)
防火墻技術(shù)原理_第3頁(yè)
防火墻技術(shù)原理_第4頁(yè)
防火墻技術(shù)原理_第5頁(yè)
已閱讀5頁(yè),還剩70頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、123兩個(gè)安全域之間通信流的唯一通道udpblockhost chost btcppasshost chost adestinationprotocolpermitsource根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻定義防火墻定義4intranet防火墻作用防火墻作用5防火墻執(zhí)行標(biāo)準(zhǔn)防火墻執(zhí)行標(biāo)準(zhǔn)67防火墻的分類防火墻的分類81.保護(hù)單臺(tái)主機(jī)2.安全策略分散3.安全功能簡(jiǎn)單4.普通用戶維護(hù)5.安全隱患較大6.策略設(shè)置靈活1.保護(hù)整個(gè)網(wǎng)絡(luò)2.安全策略集中3.安全功能復(fù)雜多樣4.專業(yè)管理員維護(hù)5.安全隱患小6.策略設(shè)置復(fù)雜9基于精簡(jiǎn)專用os高高較高強(qiáng)不易較容易price=firewall+serv

2、er基于龐大通用os較高較高高較強(qiáng)非常容易容易price=firewall1.僅獲得firewall軟件,需要準(zhǔn)備額外的os平臺(tái)2.安全性依賴低層的os3.網(wǎng)絡(luò)適應(yīng)性弱(主要以路由模式工作)4.穩(wěn)定性高5.軟件分發(fā)、升級(jí)比較方便1.硬件+軟件,不用準(zhǔn)備額外的os平臺(tái)2.安全性完全取決于專用的os3.網(wǎng)絡(luò)適應(yīng)性強(qiáng)(支持多種接入模式)4.穩(wěn)定性較高5.升級(jí)、更新不太靈活1011網(wǎng)絡(luò)接口總線位數(shù)總線頻率總線帶寬32 b33m1g64 b33m2g32 b133m4g64 b133m8g總線網(wǎng)絡(luò)接口134212網(wǎng)絡(luò)接口總線位數(shù)總線頻率總線帶寬32 b33m1g64 b33m2g32 b133m4g64

3、 b133m8g總線1網(wǎng)絡(luò)接口總線21314網(wǎng)絡(luò)接口總線位數(shù)總線頻率總線帶寬32 b33m1g64 b33m2g32 b133m4g64 b133m8g網(wǎng)絡(luò)接口134215網(wǎng)絡(luò)接口總線位數(shù)總線頻率總線帶寬32 b33m1g64 b33m2g32 b133m4g64 b133m8g網(wǎng)絡(luò)接口134216網(wǎng)絡(luò)接口總線位數(shù)總線頻率總線帶寬32 b33m1g64 b33m2g32 b133m4g64 b133m8g網(wǎng)絡(luò)接口134217總線位數(shù)總線頻率總線帶寬32 b33m1g64 b33m2g32 b133m4g64 b133m8g網(wǎng)絡(luò)接口總線1網(wǎng)絡(luò)接口總線218總線位數(shù)總線頻率總線帶寬32 b33m1

4、g64 b33m2g32 b133m4g64 b133m8g網(wǎng)絡(luò)接口總線1網(wǎng)絡(luò)接口總線219基于通用基于通用cpu的防火墻的特點(diǎn)的防火墻的特點(diǎn)20基于基于asic加速技術(shù)防火墻的特點(diǎn)加速技術(shù)防火墻的特點(diǎn)21 基于基于np加速技術(shù)防火墻的特點(diǎn)加速技術(shù)防火墻的特點(diǎn)22232425應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn): 速度快,性能高 對(duì)應(yīng)用程序透明缺點(diǎn): 安全性低 不能根據(jù)狀態(tài)信息進(jìn)行控制 不能處理網(wǎng)絡(luò)層以上的信息 伸縮性差 維護(hù)不直觀2627應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)

5、用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全性高能夠檢測(cè)所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據(jù)包進(jìn)入防火墻時(shí)就進(jìn)行識(shí)別和判斷伸縮性好可以識(shí)別不同的數(shù)據(jù)包已經(jīng)支持160多種應(yīng)用,包括internet應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用、多媒體應(yīng)用等用戶可方便添加新應(yīng)用對(duì)用戶、應(yīng)用程序透明抽取各層的狀態(tài)信息建立動(dòng)態(tài)狀態(tài)表2829應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn):優(yōu)點(diǎn): 安全性高 提供應(yīng)用層的安全缺點(diǎn):缺點(diǎn): 性能差 伸縮性差 只支持有限的應(yīng)用 不透明ftphttpsmtp3031

6、32host c host d access list to access nat to any pass access to blockaccess default pass1010010101規(guī)則匹配成功規(guī)則匹配成功v 基于源ip地址v 基于目的ip地址v 基于源端口v 基于目的端口v 基于時(shí)間v基于用戶v 基于流量v 基于文件v 基于網(wǎng)址v 基于mac地址33chenaifeng12354876341.無(wú)日志無(wú)日志2.通信日志通信日志:即傳統(tǒng)日志:即傳統(tǒng)日志v通信源地址、目的地

7、址、源目端口、通信時(shí)間、通信協(xié)議、字節(jié)數(shù)、是否允許通過(guò)通信源地址、目的地址、源目端口、通信時(shí)間、通信協(xié)議、字節(jié)數(shù)、是否允許通過(guò)3.應(yīng)用層命令日志應(yīng)用層命令日志:v在通信日志的基礎(chǔ)之上,記錄下各個(gè)應(yīng)用層命令及其參數(shù)。例如在通信日志的基礎(chǔ)之上,記錄下各個(gè)應(yīng)用層命令及其參數(shù)。例如httphttp請(qǐng)求及其要取的請(qǐng)求及其要取的網(wǎng)頁(yè)名。網(wǎng)頁(yè)名。4.訪問(wèn)日志訪問(wèn)日志:v即在通信日志的基礎(chǔ)之上,記錄下用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。它和應(yīng)用層命令日志的區(qū)即在通信日志的基礎(chǔ)之上,記錄下用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。它和應(yīng)用層命令日志的區(qū)別是:應(yīng)用層命令日志可以記錄下大量的數(shù)據(jù),有些用戶可能不需要,如協(xié)商通信參別是:應(yīng)用層命令日志

8、可以記錄下大量的數(shù)據(jù),有些用戶可能不需要,如協(xié)商通信參數(shù)過(guò)程等。例如針對(duì)數(shù)過(guò)程等。例如針對(duì)ftp協(xié)議,訪問(wèn)日志只記錄下讀、寫文件的動(dòng)作協(xié)議,訪問(wèn)日志只記錄下讀、寫文件的動(dòng)作 5.內(nèi)容日志內(nèi)容日志:1.1.即在應(yīng)用層命令日志的基礎(chǔ)之上,還記錄下用戶傳輸?shù)膬?nèi)容。如用戶發(fā)送的郵件,用即在應(yīng)用層命令日志的基礎(chǔ)之上,還記錄下用戶傳輸?shù)膬?nèi)容。如用戶發(fā)送的郵件,用戶取下的網(wǎng)頁(yè)等。但因?yàn)檫@個(gè)功能涉及到隱私問(wèn)題,所以在普通的防火墻中沒(méi)有包含戶取下的網(wǎng)頁(yè)等。但因?yàn)檫@個(gè)功能涉及到隱私問(wèn)題,所以在普通的防火墻中沒(méi)有包含 2.2.firewall 5g firewall 5g 對(duì)所有的應(yīng)用層協(xié)議都可以進(jìn)行通信日志,而命

9、令日志、訪問(wèn)日志、內(nèi)對(duì)所有的應(yīng)用層協(xié)議都可以進(jìn)行通信日志,而命令日志、訪問(wèn)日志、內(nèi)容日志目前支持容日志目前支持http、ftp、smtp、pop3、telnet、rsh、rlogin等協(xié)議等協(xié)議 6.日志分析工具日志分析工具1.自動(dòng)產(chǎn)生各種報(bào)表,智能化的指出網(wǎng)絡(luò)可能的安全漏洞自動(dòng)產(chǎn)生各種報(bào)表,智能化的指出網(wǎng)絡(luò)可能的安全漏洞3536373839intranet 404142受保護(hù)網(wǎng)絡(luò)internetids發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等434445internethost a host bhost c199.1

10、68.1.4host d00-50-04-bb-71-a600-50-04-bb-71-bcbind to 00-50-04-bb-71-a6bind to 00-50-04-bb-71-bcip與mac地址綁定后,不允許host b假冒host a的ip地址上網(wǎng)防火墻允許host a上網(wǎng)跨路由器46internetv 公開服務(wù)器可以使用私有地址v 隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)www ftp mail dns

11、map :80 to :80map :21 to :21map :53 to :53map :25 to :25474host a受保護(hù)網(wǎng)絡(luò)host c host d 15防火墻eth2:3eth0:數(shù)據(jù)ip報(bào)頭數(shù)據(jù)ip

12、報(bào)頭源地址:1目地址:4源地址:目地址:448不支持trunk的防火墻無(wú)法在這種環(huán)境下工作不支持trunk的防火墻無(wú)法在這種環(huán)境下工作49dhcp服務(wù)器host ahost bhost chost dhost ehost f沒(méi)有固定ip地址只允許host b上網(wǎng)設(shè)定host b的mac地址設(shè)定host b的ip地址為空根據(jù)host b的mac地址進(jìn)行訪問(wèn)控制50客戶機(jī)數(shù)據(jù)庫(kù)查詢一般需要比較長(zhǎng)的時(shí)間,這些通訊連接建立成功后可能暫時(shí)沒(méi)有數(shù)據(jù)通過(guò)(空連接),需要在防火墻里面維護(hù)這個(gè)連

13、接狀態(tài),直到查詢結(jié)束,普通防火墻在連接建立一段時(shí)間后如果沒(méi)有數(shù)據(jù)通訊會(huì)自動(dòng)切斷連接,導(dǎo)致業(yè)務(wù)不能正常運(yùn)行51525354 55 “胖胖”、“瘦瘦”防火墻的定義防火墻的定義56胖防火墻的優(yōu)勢(shì)胖防火墻的優(yōu)勢(shì)57胖防火墻的不足胖防火墻的不足 58瘦防火墻的優(yōu)勢(shì)瘦防火墻的優(yōu)勢(shì)59瘦防火墻的不足瘦防火墻的不足60胖瘦防火墻之爭(zhēng)胖瘦防火墻之爭(zhēng) 61用戶的價(jià)值取向一用戶的價(jià)值取向一 62用戶的價(jià)值取向二用戶的價(jià)值取向二 63防火墻:胖瘦總相宜防火墻:胖瘦總相宜 64構(gòu)建聯(lián)動(dòng)一體的安全體系構(gòu)建聯(lián)動(dòng)一體的安全體系 6566受保護(hù)網(wǎng)絡(luò)internet如果防火墻支持透明模式,則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整host a

14、 host chost dhost b同一網(wǎng)段透明模式下,這里不用配置ip地址透明模式下,這里不用配置ip地址default gateway=防火墻相當(dāng)于網(wǎng)橋,原網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有改變no.1 透明接入透明接入67eth0:eth1:eth2:0/24 網(wǎng)段0/24 網(wǎng)段外網(wǎng)、ssn、內(nèi)網(wǎng)在同一個(gè)廣播域,防火墻做透明設(shè)置。此時(shí)防火墻為透明模

15、式。透明模式的典型應(yīng)用透明模式的典型應(yīng)用68受保護(hù)網(wǎng)絡(luò)internethost a host chost dhost bdefault gateway=防火墻相當(dāng)于一個(gè)簡(jiǎn)單的路由器67no.2 路由接入路由接入69eth0:eth1:eth2:/24 網(wǎng)段/24 網(wǎng)段外網(wǎng)、ssn區(qū)、內(nèi)網(wǎng)都不在同一網(wǎng)段,防火墻做路由方式。這時(shí),防火墻相當(dāng)于一個(gè)路由器。路由模式的典型應(yīng)用路由模式的典型應(yīng)用70no.3 綜合接入綜合接入eth1

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論