第6章网络防护(一) 63防火墙 6.4∨PN 6.5蜜罐技术
第6章 网络防护(一) 6.3 防火墙 6.4 VPN 6.5 蜜罐技术
主要内容 安全策略与安全网络设计 °路由器 防火墙 虚拟专用网(VPN) ·蜜罐技术 入侵检测 snort系统介绍
主要内容 • 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
63防火墙 路由器包过滤安全机制主要是在网络层实现 对分组的过滤功能,路由器在对数据包进行筛 选时,往往缺乏被过滤数据包所在上下文环境 的知识(例如,该数据包是属于哪个应用连接 的?),因此过滤的针对性不强,过滤策略缺 乏全局性依据,这是路由器安全过滤机制的主 要缺陷。本节将考虑可以根据数据包所处的应 用数据流对分组进行过滤,从全局角度设计报 文过滤规则,提高了报文过滤的准确性,可以 有效阻止非法的应用数据流的通过,因而更具 有安全性
6.3 防火墙 ➢路由器包过滤安全机制主要是在网络层实现 对分组的过滤功能,路由器在对数据包进行筛 选时,往往缺乏被过滤数据包所在上下文环境 的知识(例如,该数据包是属于哪个应用连接 的?),因此过滤的针对性不强,过滤策略缺 乏全局性依据,这是路由器安全过滤机制的主 要缺陷。本节将考虑可以根据数据包所处的应 用数据流对分组进行过滤,从全局角度设计报 文过滤规则,提高了报文过滤的准确性,可以 有效阻止非法的应用数据流的通过,因而更具 有安全性
6.3.1防火墙概论 Internet防火墙的主要目标是控制可信网络 ( trusted network)和 IInternet之间的连接。 防火墙允许访问服务并保护这些服务的用 户。防火墙可以看成保护内部网边界的哨 卡,阻塞进出防火墙的恶意信息流
6.3.1 防火墙概论 • Internet防火墙的主要目标是控制可信网络 (trusted network)和Internet之间的连接。 防火墙允许访问服务并保护这些服务的用 户。防火墙可以看成保护内部网边界的哨 卡,阻塞进出防火墙的恶意信息流
防火墙的策略与技术 对防火墙的使用都必须遵循以下三条原则 (1)进出网络的双向通信信息必须通过防 火墙 (2)只能允许经过本地安全策略授权的通 信信息通过; (3)防火墙本身不能影响网络信息的流通
一、 防火墙的策略与技术 • 对防火墙的使用都必须遵循以下三条原则: • (1)进出网络的双向通信信息必须通过防 火墙; • (2)只能允许经过本地安全策略授权的通 信信息通过; • (3)防火墙本身不能影响网络信息的流通