第9章防火墙术 人民邮电出版社
第9章 防火墙技术
9.1防火墙概述 9.2防火墙的设计策略和安全策略 9.3防火墙的体系结 94防火墙的主要技术 人民邮电出版社
9.1 防火墙概述 9.2 防火墙的设计策略和安全策略 9.3 防火墙的体系结 9.4 防火墙的主要技术
9.1防火墙概述 91防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略 的系统,它可以是软件,也可以是硬件,或两者并 用 人民邮电出版社
9.1.1 防火墙的基本概念 防火墙是在两个网络之间执行控制和安全策略 的系统,它可以是软件,也可以是硬件,或两者并 用。 9.1 防火墙概述
912防火墙的作用与不足 总的来说,防火墙系统应具有以下5个方面的特 性 (1)内部网和外部网之间的数据传输都必须经过 防火墙。 (2)只有被授权的合法数据,即符合安全策略的 数据,才可以通过防火墙,其他的数据将被防火墙 丢弃。 人民邮电出版社
9.1.2 防火墙的作用与不足 总的来说,防火墙系统应具有以下5个方面的特 性。 (1)内部网和外部网之间的数据传输都必须经过 防火墙。 (2)只有被授权的合法数据,即符合安全策略的 数据,才可以通过防火墙,其他的数据将被防火墙 丢弃
(3)防火墙本身不受各种攻击的影响,否则,防 火墙的保护功能将大大降低。 (4)采用目前新的信息安全技术,如现代加密技 术、一次口令系统、智能卡等增强防火墙的保护 功能,为内部网提供更好的保护。 (5)人机界面良好。 人民邮电出版社
(3)防火墙本身不受各种攻击的影响,否则,防 火墙的保护功能将大大降低。 (4)采用目前新的信息安全技术,如现代加密技 术、一次口令系统、智能卡等增强防火墙的保护 功能,为内部网提供更好的保护。 (5)人机界面良好
采用防火墙保护内部网有以下优点。 (1)防火墙允许网络管理员定义一个中心“扼制点” 来防止非法用户(如黑客和网络破坏者等)进入内 部网。 (2)保护网络中脆弱的服务。 (3)在防火墙上可以很方便地监视网络的安全性, 并产生报警 (4)可以集中安全性。 (5)防火墙可以作为部署(网络地址转换 Network Address translator,NAT)的逻辑地址。 (6)增强保密性和强化私有权。 (7)防火墙是审计和记录 Internet使用量的一个最 佳地方。 (8)防火墙也可以成为向客户发布信息的地点。 人民邮电出版社
采用防火墙保护内部网有以下优点。 (1)防火墙允许网络管理员定义一个中心“扼制点” 来防止非法用户(如黑客和网络破坏者等)进入内 部网。 (2)保护网络中脆弱的服务。 (3)在防火墙上可以很方便地监视网络的安全性, 并产生报警。 (4)可以集中安全性。 (5)防火墙可以作为部署(网络地址转换Network Address Translator,NAT)的逻辑地址。 (6)增强保密性和强化私有权。 (7)防火墙是审计和记录Internet使用量的一个最 佳地方。 (8)防火墙也可以成为向客户发布信息的地点
防火墙有如下的缺陷和不足。 (1)限制有用的网络服务。 (2)无法防护内部网用户的攻击。 (3)防火墙无法防范通过防火墙以外的其他途径的 攻击。 (4)防火墙也不能完全防止传送已感染病毒的软件 或文件。 (5)防火墙无法防范数据驱动型的攻击。 (6)不能防备新的网络安全问题 人民邮电出版社
防火墙有如下的缺陷和不足。 (1)限制有用的网络服务。 (2)无法防护内部网用户的攻击。 (3)防火墙无法防范通过防火墙以外的其他途径的 攻击。 (4)防火墙也不能完全防止传送已感染病毒的软件 或文件。 (5)防火墙无法防范数据驱动型的攻击。 (6)不能防备新的网络安全问题
Internet防火墙系统 内部网络 SLIP ISP Internet 图91防火墙后门 人民邮电出版补
图9.1 防火墙后门
9.2防火墙的设计策略和安全策略 92.1防火墙的设计策略 防火墙一般执行以下两种基本设计策略中的 种 (1)除非明确不允许,否则允许某种服务。 (2)除非明确允许,否则将禁止某种服务。 人民邮电出版社
9.2 防火墙的设计策略和安全策略 9.2.1 防火墙的设计策略 防火墙一般执行以下两种基本设计策略中的 一种。 (1)除非明确不允许,否则允许某种服务。 (2)除非明确允许,否则将禁止某种服务
922防火墙的安全策略 研制和开发一个有效的防火墙,首先要设计和 制定一个有效的安全策略。安全策略应包含以下主 要内容: (1)用户账号策略; (2)用户权限策略; (3)信任关系策略; (4)包过虑策略; (5)认证策略; (6)签名策略; (⑦)数据加密策略; (8)密钥分配策略; (9)审计策略。 人民邮电出版社
9.2.2 防火墙的安全策略 研制和开发一个有效的防火墙,首先要设计和 制定一个有效的安全策略。安全策略应包含以下主 要内容: (1)用户账号策略; (2)用户权限策略; (3)信任关系策略; (4)包过虑策略; (5)认证策略; (6)签名策略; (7)数据加密策略; (8)密钥分配策略; (9)审计策略