图5-15防火墙接入的基本方法示意图 因特网 IBM PC 防火墙 麦金多什机 终端
图5-15 防火墙接入的基本方法示意图 以太网 麦金多什机 IBM PC IBM PC 防火墙 因特网 终端
冈络管理员可以根据以下两个观点为防火 墙设置访问控制策略: (1)除了允许明确的合法流量外,禁止其 他所有流量。 在这种情况下,任何可能遇到的威胁企图 必须从技术上定义(许可性策略)。 (2)除了明确的非法流量禁止外,允许其 他所有流量
• 网络管理员可以根据以下两个观点为防火 墙设置访问控制策略: • (1)除了允许明确的合法流量外,禁止其 他所有流量。 • 在这种情况下,任何可能遇到的威胁企图 必须从技术上定义(许可性策略)。 • (2)除了明确的非法流量禁止外,允许其 他所有流量
防火墙的安全技术 防火墙系统中除了包含实现“防火”功能 的各种技术(如包过滤技术,服务代理技 术)外,还包含许多附加功能的技术,如 审计与报警、网络地址转换(NAT)、虚拟 专网(VPN)、 Internet网关技术、安全服 务器网络(SN)、用户鉴别与加密等技术 这些附加技术有的是用于增强防火墙本身 的隔离作用(如NAT功能),有的则是为了 增强防火墙系统自身的安全(审计与报警, 用户身份识别)
三、 防火墙的安全技术 • 防火墙系统中除了包含实现“防火”功能 的各种技术(如包过滤技术,服务代理技 术)外,还包含许多附加功能的技术,如 审计与报警、网络地址转换(NAT)、虚拟 专网(VPN)、Internet网关技术、安全服 务器网络(SSN)、用户鉴别与加密等技术, 这些附加技术有的是用于增强防火墙本身 的隔离作用(如NAT功能),有的则是为了 增强防火墙系统自身的安全(审计与报警, 用户身份识别)
1认证( authentication)技术 在初始化对话活动时需要认证,并需要在对话的 全过程中进行认证,以保证一个合法的事务不会 被一个入侵者“劫持” 2包过滤技术 ·一个包过滤防火墙能够有效、廉价地阻止流过防 火墙边界的连接。包过滤防火墙的安全性体现在 根据过滤规则对TCP、UDP数据包进行检测。包 过滤防火墙检查通过它的每一个包。过滤规则定 义了什么包可以通过防火墙,什么包必须丢弃或 返回给发送者
1 认证(authentication)技术 • 在初始化对话活动时需要认证,并需要在对话的 全过程中进行认证,以保证一个合法的事务不会 被一个入侵者“劫持” 。 • 2 包过滤技术 • 一个包过滤防火墙能够有效、廉价地阻止流过防 火墙边界的连接。包过滤防火墙的安全性体现在 根据过滤规则对TCP、UDP数据包进行检测。包 过滤防火墙检查通过它的每一个包。过滤规则定 义了什么包可以通过防火墙,什么包必须丢弃或 返回给发送者
3代理技术 也称为应用过滤( pplication filtering),根据 所请求的应用对服务请求进行过滤,并且 是由防火墙之内的代理程序而不是在被保 护的内部网上的主程序来执行被请求的服 务。代理应用程序被限制为只能执行符合 安全策略的服务功能,并且能阻止来自外 部访问到内部网络资源的请求
3 代理技术 • 也称为应用过滤(application filtering),根据 所请求的应用对服务请求进行过滤,并且 是由防火墙之内的代理程序而不是在被保 护的内部网上的主程序来执行被请求的服 务。代理应用程序被限制为只能执行符合 安全策略的服务功能,并且能阻止来自外 部访问到内部网络资源的请求