沈鑫剡编著(网络安全)教材配套课件第11章PPT资料.pptx
- 文档编号:15556266
- 上传时间:2022-11-04
- 格式:PPTX
- 页数:72
- 大小:1.60MB
沈鑫剡编著(网络安全)教材配套课件第11章PPT资料.pptx
《沈鑫剡编著(网络安全)教材配套课件第11章PPT资料.pptx》由会员分享,可在线阅读,更多相关《沈鑫剡编著(网络安全)教材配套课件第11章PPT资料.pptx(72页珍藏版)》请在冰豆网上搜索。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全11.111.1防火墙概述防火墙概述本讲主要内容本讲主要内容n引出防火墙的原因;
引出防火墙的原因;
n防火墙定义和工作机制;
防火墙定义和工作机制;
n防火墙分类;
防火墙分类;
n防火墙功能;
防火墙功能;
n防火墙的局限性。
防火墙的局限性。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、引出防火墙的原因一、引出防火墙的原因安全的网络系统既要能够保障正常的数据交换过程,又安全的网络系统既要能够保障正常的数据交换过程,又要能够阻止用于实施攻击的数据交换过程。
要能够阻止用于实施攻击的数据交换过程。
防火墙一是能够检测出用于实施攻击的信息流,并阻断防火墙一是能够检测出用于实施攻击的信息流,并阻断这样的信息流。
二是能够允许正常信息流通过。
这样的信息流。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、防火墙定义和工作机制防火墙定义和工作机制网络中的防火墙是一种位于网络之间,或者用户终端与网络中的防火墙是一种位于网络之间,或者用户终端与网络之间,对网络之间,或者网络与用户终端之间传输的信网络之间,对网络之间,或者网络与用户终端之间传输的信息流实施控制的设备。
息流实施控制的设备。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、防火墙定义和工作机制防火墙定义和工作机制防火墙的作用是控制网络防火墙的作用是控制网络11与网络与网络22之间传输的信息流,所之间传输的信息流,所谓控制是指允许网络谓控制是指允许网络11与网络与网络22之间传输某种类型的信息流,阻之间传输某种类型的信息流,阻断另一种类型的信息流网络断另一种类型的信息流网络11与网络与网络22之间的传输过程。
允许和之间的传输过程。
允许和阻断操作的依据是为防火墙配置的安全策略。
阻断操作的依据是为防火墙配置的安全策略。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、防火墙分类三、防火墙分类防火墙分类防火墙分类防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全11个人防火墙个人防火墙n个人防火墙只保护单台计算机,用于对进出计算机的信个人防火墙只保护单台计算机,用于对进出计算机的信息流实施控制,因此,个人防火墙通常是分组过滤器;
息流实施控制,因此,个人防火墙通常是分组过滤器;
n分组过滤器分为有状态分组过滤器和无状态分组过滤器分组过滤器分为有状态分组过滤器和无状态分组过滤器两种类型,无状态分组过滤器只根据单个两种类型,无状态分组过滤器只根据单个IPIP分组携带的分组携带的信息确定是否过滤掉该信息确定是否过滤掉该IPIP分组。
而有状态分组过滤器不分组。
而有状态分组过滤器不仅根据仅根据IPIP分组携带的信息,而且还根据分组携带的信息,而且还根据IPIP分组所属的会分组所属的会话的状态确定是否过滤掉该话的状态确定是否过滤掉该IPIP分组。
分组。
三、防火墙分类三、防火墙分类防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全22网络防火墙网络防火墙(11)分组过滤器)分组过滤器网络防火墙中的分组过滤器同样分为有状态分组过网络防火墙中的分组过滤器同样分为有状态分组过滤器和无状态分组过滤器两种类型。
网络防火墙中的分滤器和无状态分组过滤器两种类型。
网络防火墙中的分组过滤器能够根据用户制定的安全策略对内网和外网间组过滤器能够根据用户制定的安全策略对内网和外网间传输的信息流实施控制,它对信息流的发送端和接收端传输的信息流实施控制,它对信息流的发送端和接收端是透明的,因此,分组过滤器的存在不需要改变终端访是透明的,因此,分组过滤器的存在不需要改变终端访问网络的方式。
问网络的方式。
三、防火墙分类三、防火墙分类防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全22网络防火墙网络防火墙(22)电路层代理)电路层代理终端先和电路层代理建立终端先和电路层代理建立TCPTCP连接,电路层代理在完连接,电路层代理在完成对终端用户的身份鉴别后,和服务器建立成对终端用户的身份鉴别后,和服务器建立TCPTCP连接,并连接,并将这两个将这两个TCPTCP连接绑定在一起。
连接绑定在一起。
三、防火墙分类三、防火墙分类先认证用户身份,确定是授权用户先认证用户身份,确定是授权用户发起的发起的TCP连接时,再与服务器建连接时,再与服务器建立立TCP连接。
连接。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全22网络防火墙网络防火墙(33)应用层网关)应用层网关对相互交换的对相互交换的FTPFTP消息,必须根消息,必须根据据FTPFTP规范检测其合理性,包括请求规范检测其合理性,包括请求和响应消息中的各个字段值是否正确和响应消息中的各个字段值是否正确?
请求消息和响应消息是否匹配?
文?
文件内容是否包含禁止传播的非法内容件内容是否包含禁止传播的非法内容或病毒等。
应用层网关必须支持或病毒等。
应用层网关必须支持FTPFTP,才能中继,才能中继FTPFTP消息,因此,应用层消息,因此,应用层网关是应用层相关的。
网关是应用层相关的。
三、防火墙分类三、防火墙分类防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、防火墙功能四、防火墙功能n服务服务控制控制不同网络间只允许传输与特定服务相关的信息流。
不同网络间只允许传输与特定服务相关的信息流。
n方向控制方向控制不同网络间只允许传输与由特定网络中终端发起的会话不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。
相关的信息流。
n用户控制用户控制不同网络间只允许传输与授权用户合法访问网络资源相不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。
关的信息流。
n行为控制行为控制不同网络间只允许传输与行为合理的网络资源访问过程不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全五、防火墙的局限性五、防火墙的局限性n无法防御网络内部终端发起的攻击;
无法防御网络内部终端发起的攻击;
n无法阻止病毒传播;
无法阻止病毒传播;
n无法防御利用防火墙安全策略允许的信息传输过无法防御利用防火墙安全策略允许的信息传输过程实施的攻击行为。
程实施的攻击行为。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全11.2分组过滤器分组过滤器本讲主要内容本讲主要内容n无状态分组过滤器;
无状态分组过滤器;
n有状态分组过滤器。
有状态分组过滤器。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、无状态分组过滤器一、无状态分组过滤器分组过滤器,顾名思义就是从一个网络进入分组过滤器,顾名思义就是从一个网络进入另一个网络的全部另一个网络的全部IPIP分组中筛选出符合用户指定分组中筛选出符合用户指定特征的一部分特征的一部分IPIP分组,并对这一部分分组,并对这一部分IPIP分组的网分组的网络间传输过程实施控制。
无状态是指实施筛选和络间传输过程实施控制。
无状态是指实施筛选和控制操作时,每一个控制操作时,每一个IPIP分组都是独立的,不考虑分组都是独立的,不考虑IPIP分组之间的关联性。
分组之间的关联性。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、无状态分组过滤器一、无状态分组过滤器过滤规则过滤规则规则由一组属性值和操作组成,如果某个规则由一组属性值和操作组成,如果某个IPIP分组携带的信息和分组携带的信息和构成规则的一组属性值匹配,意味着该构成规则的一组属性值匹配,意味着该IPIP分组和该规则匹配,对该分组和该规则匹配,对该IPIP分组实施规则指定的操作。
分组实施规则指定的操作。
构成规则的属性值通常由下述字段组成:
n源源IPIP地址,用于匹配地址,用于匹配IPIP分组分组IPIP首部中的源首部中的源IPIP地址字段值。
地址字段值。
n目的目的IPIP地址,用于匹配地址,用于匹配IPIP分组分组IPIP首部中的目的首部中的目的IPIP地址字段值。
n源和目的端口号,用于匹配作为源和目的端口号,用于匹配作为IPIP分组净荷的传输层报文首部中源分组净荷的传输层报文首部中源和目的端口号字段值。
和目的端口号字段值。
n协议类型,用于匹配协议类型,用于匹配IPIP分组首部中的协议字段值。
分组首部中的协议字段值。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、无状态分组过滤器一、无状态分组过滤器一个过滤器可以由多个规则构成,一个过滤器可以由多个规则构成,IPIP分组只分组只有和当前规则不匹配时,才继续和后续规则进行有和当前规则不匹配时,才继续和后续规则进行匹配操作,如果和过滤器中的所有规则都不匹配,匹配操作,如果和过滤器中的所有规则都不匹配,对对IPIP分组进行默认操作。
一旦和某个规则匹配,分组进行默认操作。
一旦和某个规则匹配,则对其进行规则指定的操作,不再和其他规则进则对其进行规则指定的操作,不再和其他规则进行匹配操作。
行匹配操作。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、无状态分组过滤器一、无状态分组过滤器禁止网络禁止网络193.1.1.0/24193.1.1.0/24中的终端用中的终端用TelnetTelnet访问网访问网络络193.1.2.0/24193.1.2.0/24中中IPIP地址为地址为193.1.2.5193.1.2.5的服务器。
的服务器。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、无状态分组过滤器一、无状态分组过滤器路由器路由器R1R1接口接口11输入方向上的分组过滤器的规则是:
输入方向上的分组过滤器的规则是:
n协议类型协议类型=TCP=TCP;
n源源IPIP地址地址=193.1.1.0/24=193.1.1.0/24;
n目的目的IPIP地址地址=193.1.2.5/32=193.1.2.5/32;
n目的端口号目的端口号=23=23;
n对和规则匹配的对和规则匹配的IPIP分组采取的动作是:
丢弃。
分组采取的动作是:
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、无状态分组过滤器一、无状态分组过滤器如果只是需要过滤掉所有与如果只是需要过滤掉所有与LAN1LAN1中的终端用中的终端用TelnetTelnet访问访问LAN2LAN2中的服务器的操作相关的中的服务器的操作相关的IPIP分组,分组,允许其他允许其他IPIP分组继续传输,则完整的过滤器如下:
分组继续传输,则完整的过滤器如下:
n协议类型协议类型=TCP=TCP,源,源IPIP地址地址=193.1.1.0/24=193.1.1.0/24,目的,目的IPIP地址地址=193.1.2.5/32=193.1.2.5/32,目的端口号,目的端口号=23=23;
;
n协议类型协议类型=*=*,源,源IPIP地址地址=any=any,目的,目的IPIP地址地址=any=any;
正常转发。
防火墙防火墙防火墙防火墙计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、无状态分组过
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 沈鑫剡 编著 网络安全 教材 配套 课件 11