文档介绍:防火墙技术
防火墙的概念
防火墙是指隔离在本地网络与外界网络系统之间的防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。
防火墙的概念
信任网络
防火墙
非信任网络
防火墙是对黑客防范最严格,安全性也比较强的一种方式。
下图为一个典型防火墙系统
防火墙相关术语
主机:连接到网络的计算机系统
堡垒主机:一个连接内部网络又对外部网络暴露的计算机系统,它的特性导致它容易被入侵。
周边网络:为了增加一层安全控制,在外网系统和内网系统之间增加的一个网络。周边网络有时也称为DMZ(非军事区,得名于分隔朝鲜北方和南方的地区)
***:代表内部网络和外部服务器进行信息交换的程序。它将被认可的内部用户的请求送到外部服务器,并将外部服务器的响应送回给用户。
防火墙的基本功能
防火墙系统可以决定外界可以访问那些内部服务,以及内部人员可以访问哪些外部服务.
防火墙有以下的功能:
。� ,并报警。
防火墙的基本功能
Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
。
,从物理上和内部网段隔开,并在此部署发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。
防火墙的优点
强化安全策略
上的活动
限制暴露用户点(隔离不同网络,限制安全问题扩散)
是一个安全策略的检查站
产生安全报警
防火墙的不足
防火墙并非万能,防火墙的缺点:
源于内部的攻击
不能防范恶意的知情者和不经心的用户
不能防范不通过防火墙的连接
不能直接抵御恶意程序(由于病毒的种类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。)
防火墙的主要技术
包过滤技术
代理服务技术
主动检测技术
包过滤技术
包过滤事实上基于路由器的技术,由路由器的对IP包进行选择,允许或拒绝该数据包通过。
为了过滤,必须要制定一些过滤规则(访问控制表),过滤的根据有(只考虑IP包):
源、目的IP地址
源、目的端口:FTP、HTTP、DNS等
数据包协议类型:TCP、UDP、ICMP等
数据包流向:in或out
数据包流经网络接口:Eth0、Eth1