1 / 34
文档名称:

防火墙技术包过滤防火墙.ppt

格式:ppt   大小:2,732KB   页数:34页
下载后只包含 1 个 PPT 格式的文档,没有任何的图纸或源代码,查看文件列表

如果您已付费下载过本站文档,您可以点这里二次下载

分享

预览

防火墙技术包过滤防火墙.ppt

上传人:卓小妹 2022/4/18 文件大小:2.67 MB

下载得到文件列表

防火墙技术包过滤防火墙.ppt

相关文档

文档介绍

文档介绍:防火墙技术包过滤防火墙
本讲稿第一页,共三十四页
TCP/IP与防火墙——协议
*
目的物理地址
源物理地址
类型
数据
数据链路层
网络层
传输层
本讲稿第二页,共三十四页
TCP/IP与防火墙——协议(80)
20 permitted udp (1833)  (161)
21 permitted tcp (3210)  (80)
*
22 permitted tcp (2003)  (445)
23 permitted tcp (6500)  (21)
24 permitted tcp (5328)  (445)
25 permitted tcp (4433)  (445)
26 permitted tcp (2433)  (80)
27 permitted tcp (2433)  (25)
28 permitted tcp (6783)  (80)
29 permitted tcp (2439)  (80)
30 permitted tcp (4139)  (80)
31 permitted tcp (5577)  (80)
32 permitted tcp (5432)  (80)
… …
TCP/IP与防火墙——防火墙日志
本讲稿第八页,共三十四页
第五讲:防火墙知识
*
TCP/IP与防火墙
防火墙的发展历程
简单包过滤防火墙
本讲稿第九页,共三十四页
2000
*
基于实现方式
基于技术手段
防火墙的发展历程
本讲稿第十页,共三十四页
*
由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第一代:基于路由器的防火墙
本讲稿第十一页,共三十四页
基于路由器的防火墙
特点:
利用路由器本身对数据包的解析,以访问控制表方式控制数据包的过滤;
过滤判决的依据可以是:IP地址、端口号、以及其它网络特征;
只有数据包过滤功能,配置简单。
*
本讲稿第十二页,共三十四页
基于路由器的防火墙
*
工作原理:
检查数据链路层
的物理地址
检查网络层
的IP地址


本讲稿第十三页,共三十四页
基于路由器的防火墙
*
缺点:
本身具有安全漏洞;
过滤规则的设置存在安全隐患;
最大的隐患是:攻击者可以“假冒”地址进行攻击;
本质性缺陷是:会大大降低路由器的性能。
代表产品:Cisco路由器
本讲稿第十四页,共三十四页
第二代:防火墙工具套件
*
用户化的防火墙,将过滤功能从路由器中独立出来,并加上审计和告警功能。
针对用户需求,提供模块化的软件包,是纯软件产品。
本讲稿第十五页,共三十四页
防火墙工具套件
特点:
将过滤功能从路由器中独立出来,并加上审计和告警功能;
提供模块化的软件包;
用户可以自己动手构造防火墙(iptable);
与第一代防火墙相比,安全性提高了,价格降低了。
*
本讲稿第十六页,共三十四页
防火墙工具套件
*
缺点:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软件实现,安全性和处理速度均有限制。
代表产品:
iptable、TIS FWTK、AXNET Raptor、SecureZone
本讲稿第十七页,共三十四页
第三代:通用操作系统防火墙
*
建立在通用操作系统上的防火墙,近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。有以纯软件实现的,也有以硬件方式实现的。
本讲稿第十八页,共三十四页
通用操作系统防火墙
特点:
是批量生产的专用防火墙;
具备数据包过滤功能;
具备专用的代理系统;
安全性和速度大大提高。
*
本讲稿第十九页,共三十四页
通用操作系统防火墙
*
缺点:
由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;
该类防火墙既要防止外部网络的攻击,还要防止来自针对操作系统的攻击;
用户必须依赖防火墙厂商