文档介绍:防火墙体系结构
编辑ppt
内容与要求
理解包过滤、屏蔽主机、屏蔽子网防火墙的工作原理
理解堡垒主机、周边网络、多宿主机概念
学会灵活应用防火墙各种体系结构
能力目标:学会定义安全区域并配置不同安全区域之间的安全策略.
编辑ppt
内容回顾
防火墙定义、堡垒主机定义
包过滤防火墙的实现原理
屏蔽主机防火墙的实现原理
实验:
编辑ppt
包过滤型防火墙
Internet
包过滤路由器
内部网络
包头信息:ip源地址、ip目的地址、协议类型、icmp消息类型、TCP包头中的ACK位。
实现网络层过滤
编辑ppt
过滤路由器(Filtering Router):
过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在此通过检查,实现报文过滤功能。
它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。
包过滤型防火墙
编辑ppt
包过滤型防火墙
优点:
速度快,费用少,对用户透明;
缺点:
维护困难
只能阻止一种类型的地址欺骗
不能防止数据驱动型攻击
有的不支持用户认证
过滤器数目越多,路由器执行效率越低
不能对网络上的数据提供全面的防护
一般应用在安全要求不太高的小型网络中
编辑ppt
屏蔽主机体系结构
实现网络层和应用层安全
防火墙第一道防线,连接
内网和外网;
堡垒主机第二道防线,
过滤服务
编辑ppt
屏蔽主机体系结构
被屏蔽主机(Screened Host Gateway):
通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发,来确保内部网络的安全。
弱点:如果攻击者进入屏蔽主机内,内网中的主机就会受到很大威胁;这与双宿主主机受攻击时的情形差不多。
编辑ppt
堡垒主机
堡垒主机:是一台安全性很高的主机,主机上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基础。
堡垒主机的设计思想就是检查点原则,把整个网络的安全问题集中在一个主机上解决,从而省时省力,不用考虑其他主机的安全。
编辑ppt
堡垒主机构造原则与选择
构造原则:
选择标准:
,内存和硬盘空间要够大,以记录多路链路的连接信息;
;
;
。
编辑ppt