5.分布式历火墙 前面的几种防火墙都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护; 随着人们对网络安全防护要求的提高,产生了一种新型的 防火墙体系结构一分布式防火墙。近几年,分布式防火墙技 术已逐渐兴起,并在国外一些大的网络设备开发商中得到实现 ,由于其优越的安全防护体系,符合未来的发展趋势,这一技 术一出现就得到了许多用户的认可和接受
5.分布式防火墙 前面的几种防火墙都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护; 随着人们对网络安全防护要求的提高,产生了一种新型的 防火墙体系结构——分布式防火墙。近几年,分布式防火墙技 术已逐渐兴起,并在国外一些大的网络设备开发商中得到实现 ,由于其优越的安全防护体系,符合未来的发展趋势,这一技 术一出现就得到了许多用户的认可和接受。 4.1 防火墙概述
第7章内容概要 。7.1一般框架 ●7.2分组过滤 ●7.3电路网关 。7.4应用网关 ●7.5可信系统和堡垒主机 。7.6防火墙配置 。7.7网络地址转换 ●7.8配置防火墙 《计算机网络安全的理论与实践(第2版)》.【美】王杰,高等教育出版社,2011年
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年. 第7章 内容概要 7.1 一般框架 7.2 分组过滤 7.3 电路网关 7.4 应用网关 7.5可信系统和堡垒主机 7.6 防火墙配置 7.7网络地址转换 7.8 配置防火墙
数据包过滤 。包过滤防火墙对所接收的每个数据包做允许拒绝的决 定。防火墙审查每个数据包以便确定其是否与某一条 包过滤规则匹配。过滤规则基于可以提供给P转发过 程的包头信息。 ·包头信息中包括引P源地址、P目标端地址、类型( TCP、UDP、ICMP、或IPTunnel)、TCP/UDP目标 端口、ICMP消息类型、TCP包头中的ACK位置
包过滤防火墙对所接收的每个数据包做允许拒绝的决 定。防火墙审查每个数据包以便确定其是否与某一条 包过滤规则匹配。过滤规则基于可以提供给IP转发过 程的包头信息。 包头信息中包括IP源地址、IP目标端地址、类型( TCP、UDP、ICMP、或IPTunnel)、TCP/UDP目标 端口、ICMP消息类型、TCP包头中的ACK位置。 数据包过滤
数据包过滤 。包过滤防火墙使得防火墙能够根据特定的服务允许或 拒绝流动的数据,因为多数的服务侦听都在已知的端 口上。例如,Telnet服务器在TCP的23号端口上监听 远地连接,而SMTP服务器在TCP的25号端口上监听 人连接。为了阻塞所有进入的Telneti连接,防火墙只 需简单的丢弃所有TCP端口号等于23的数据包。为了 将进来的Telneti连接限制到内部的数台机器上,防火 墙必须拒绝所有TCP端口号等于23并且目标P地址不 等于允许主机的P地址的数据包
包过滤防火墙使得防火墙能够根据特定的服务允许或 拒绝流动的数据,因为多数的服务侦听都在已知的端 口上。例如,Telnet服务器在TCP的23号端口上监听 远地连接,而SMTP服务器在TCP的25号端口上监听 人连接。为了阻塞所有进入的Telnet连接,防火墙只 需简单的丢弃所有TCP端口号等于23的数据包。为了 将进来的Telnet连接限制到内部的数台机器上,防火 墙必须拒绝所有TCP端口号等于23并且目标IP地址不 等于允许主机的IP地址的数据包。 数据包过滤
数据包过滤 优点: 逻辑简单,价格便宜,易于安装和使用,网络性能和 透明性好。 主要缺点: ①安全控制只限于源地址、目的地址和端口号等,不能 保存与传输或与应用相关的状态信息,因而只能进行较为 初步的安全控制,安全性较低; ② 数据包的源地址、目的地址以及端口号等都在数据包 的头部,很有可能被窃听或假冒
优点: 逻辑简单,价格便宜,易于安装和使用,网络性能和 透明性好。 主要缺点: ① 安全控制只限于源地址、目的地址和端口号等,不能 保存与传输或与应用相关的状态信息,因而只能进行较为 初步的安全控制,安全性较低; ② 数据包的源地址、目的地址以及端口号等都在数据包 的头部,很有可能被窃听或假冒。 数据包过滤