82防火墙技术 8.21防火墙主要技术 822防火墙分类 823防火墙的选择标准和发展方向 ●四南大字画字
8.2 防火墙技术 8.2.1 防火墙主要技术 8.2.2 防火墙分类 8.2.3 防火墙的选择标准和发展方向
821防火墙主要技术 防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内 部网之间的屏障,由一个或一组系统组成。狭义的防火墙指安装了防火 墙软件的主机或路由器系统,广义的防火墙还包括整个网络的安全策略 和安全行为。防火墙技术包括 包过滤技术 网络地址翻译 应用级代理 第8章网络安全
第8章 网络安全 8.2.1 防火墙主要技术 防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内 部网之间的屏障,由一个或一组系统组成。狭义的防火墙指安装了防火 墙软件的主机或路由器系统,广义的防火墙还包括整个网络的安全策略 和安全行为。防火墙技术包括: ➢ 包过滤技术 ➢ 网络地址翻译 ➢ 应用级代理
823防火墙主要技术 1.包过滤技术 包过滤技术( Packet Filtering)是在网络层依据系统的过滤规则 对数据包进行选择和过滤,这种规则又称为访问控制表。这种防火墙 通常安装在路由器上,如图8.3所示。 包过规贝 均_当 外部网 内納啊 包过诊网关 图83包过滤技术 这种技术通过检查数据流中的每个数据包的源地址、目标地址、 源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包 通过。 第8章网络安全
第8章 网络安全 8.2.3 防火墙主要技术 1. 包过滤技术 包过滤技术(Packet Filtering)是在网络层依据系统的过滤规则, 对数据包进行选择和过滤,这种规则又称为访问控制表。这种防火墙 通常安装在路由器上,如图8.3所示。 图8.3 包过滤技术 这种技术通过检查数据流中的每个数据包的源地址、目标地址、 源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包 通过
823防火墙主要技术 包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检 查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根 据状态信息来过滤整个通信流,而不仅仅是包。 有许多方法可绕过包过滤器进入 Internet,包过滤技术存在以下缺 >TcP只能在第0个分段中被过滤。 特洛伊木马可以使用NAT来使包过滤器失效 许多包过滤器允许1024以上的端口通过。 “纯”包过滤器的防火墙不能完全保证内部网的安全,而必须与 代理服务器和网络地址翻译结合起来才能解决问题 第8章网络安全
第8章 网络安全 8.2.3 防火墙主要技术 包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检 查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根 据状态信息来过滤整个通信流,而不仅仅是包。 有许多方法可绕过包过滤器进入Internet ,包过滤技术存在以下缺 陷: ➢ TCP只能在第0个分段中被过滤。 ➢ 特洛伊木马可以使用NAT来使包过滤器失效。 ➢ 许多包过滤器允许1024以上的端口通过。 “纯”包过滤器的防火墙不能完全保证内部网的安全,而必须与 代理服务器和网络地址翻译结合起来才能解决问题
821防火墙主要技术 2.网络地址翻译 网络地址翻译(NAT, Network Address translation)最初的设 计目的是增加在专用网络中可使用的|P地址数,但现在则用于屏蔽内 部主机。 NAT通过将专用网络中的专用P地址转换成在 Internet上使用的 全球唯一的公共地址,实现对黑客有效地隐藏所有TCP/P级的有关 内部主机信息的功能,使外部主机无法探测到它们。 NAT实质上是一个基本代理:一个主机充当代理,代表内部所有 主机发出请求,从而将内部主机的身份从公用网上隐藏起来了。 第8章网络安全
第8章 网络安全 8.2.1 防火墙主要技术 2. 网络地址翻译 网络地址翻译(NAT,Network Address Translation)最初的设 计目的是增加在专用网络中可使用的IP地址数,但现在则用于屏蔽内 部主机。 NAT通过将专用网络中的专用IP地址转换成在Internet上使用的 全球唯一的公共IP地址,实现对黑客有效地隐藏所有TCP/IP级的有关 内部主机信息的功能,使外部主机无法探测到它们。 NAT实质上是一个基本代理:一个主机充当代理,代表内部所有 主机发出请求,从而将内部主机的身份从公用网上隐藏起来了