网络与信息安全 胡铮主编 2023年7月17日星期一6时50分25秒
⚫2023年7月17日星期一6时50分25秒 胡铮主编
第6章防火墙技术 ·本章内容: ·第一节防火墙简介 ·第二节防火墙的类型 。 第三节防火墙配置 。 第四节防火墙系统 第五节防火墙的选购和使用 ·第六节防火墙产品介绍 2023年7月17日星期一6时50分26秒
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 本章内容: • 第一节 防火墙简介 • 第二节 防火墙的类型 • 第三节 防火墙配置 • 第四节 防火墙系统 • 第五节 防火墙的选购和使用 • 第六节 防火墙产品介绍
第6章防火墙技术 ·6.1防火墙简介 ·6.1.1防火墙的概念 防火墙是广泛应用的一种技术,控制两个不同安全策略的网络之间互访,从 而防止不同安全域之间的相互危害。安全、管理和速度是防火墙的三大要素 外部网络 内部网络 防火墙 2023年7月17日星期一-6时50分26秒
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 6.1 防火墙简介 • 6.1.1 防火墙的概念 • 防火墙是广泛应用的一种技术,控制两个不同安全策略的网络之间互访,从 而防止不同安全域之间的相互危害。安全、管理和速度是防火墙的三大要素
第6章防火墙技术 ·6.1.2防火墙的功能特点 。1.防止易受攻击的服务 ·2,防火墙对内部实现了集中的安全管理 ·3.控制访问网点 ·4,对网络存取和访问进行监控审计 ·5.提供网络地址翻译NT功能,可以实现网络地址转换 2023年7月17日星期一6时50分26秒
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 6.1.2 防火墙的功能特点 • 1.防止易受攻击的服务 • 2.防火墙对内部实现了集中的安全管理 • 3.控制访问网点 • 4.对网络存取和访问进行监控审计 • 5.提供网络地址翻译NAT功能,可以实现网络地址转换
第6章防火墙技术 6.2防火墙的类型 6.2.1包过滤防火墙 包过滤技术是基于P地址来监视并过滤网络上流入和流出的P包,它只允许与 指定的P地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安 排数据包的去向。 1,包过滤防火墙的工作原理 5.应用层 ·2,包过滤操作过程 ·3,包过滤防火墙的优缺点 4.TCP层 3.P层 IP过滤、Port过滤、NAT 2.数据链路层 1.物理层 输入数据流 输出数据流 2023年7月17日星期一6时50分26秒
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 6.2 防火墙的类型 • 6.2.1 包过滤防火墙 • 包过滤技术是基于IP地址来监视并过滤网络上流入和流出的IP包,它只允许与 指定的IP地址通信。它的作用是在可信任网络和不可信任网络之间有选择地安 排数据包的去向。 • 1.包过滤防火墙的工作原理 • 2.包过滤操作过程 • 3.包过滤防火墙的优缺点
第6章防火墙技术 ·6.2.2代理服务防火墙 ·1,代理服务防火墙工作原理 代理服务是运行在防火墙主机上的专门的应用程序,它在TCPP协议的应用层 ,如图所示。它位于内部网络上的用户和外部网上的服务之间,内部用户和 外部网服务彼此不能直接通信,只能分别与代理打交道。 2.代理服务防火墙的优缺点 5.应用层 FTP代理Web代理Email代理 4.TCP层 3.IP层 2.数据链路层 1.物理层 四可 输入数据流 输出数据流 ◆2023年7月17日星期一-6时50分26秒
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 6.2.2 代理服务防火墙 • 1.代理服务防火墙工作原理 • 代理服务是运行在防火墙主机上的专门的应用程序,它在TCP/IP协议的应用层 ,如图所示。它位于内部网络上的用户和外部网上的服务之间,内部用户和 外部网服务彼此不能直接通信,只能分别与代理打交道。 • 2.代理服务防火墙的优缺点
第6章防火墙技术 。6.2.3状态检测防火墙 ·1,状态检测防火墙的工作原理 状态检测防火墙是基于动态包过滤技术,又称动态包过滤技术,采用一个网 关上执行网络安全引擎,即监测模块。监测模块工作在网络层和链路层之间 ,对网络通信各层实时监测分析,提取相关的通信和状态信息,并动态存储 和更新连接表中的状态,为下一通信检查积累数据。 2,状态检测防火墙的优缺点 5.应用层 连接保持 4.TCP层 状态检查 3.IP层 包过滤 2.数据链路层 1.物理层 输入数据流 输出数据流 2023年7月17日星期一6时50分26秒
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 6.2.3 状态检测防火墙 • 1.状态检测防火墙的工作原理 • 状态检测防火墙是基于动态包过滤技术,又称动态包过滤技术,采用一个网 关上执行网络安全引擎,即监测模块。监测模块工作在网络层和链路层之间 ,对网络通信各层实时监测分析,提取相关的通信和状态信息,并动态存储 和更新连接表中的状态,为下一通信检查积累数据。 • 2.状态检测防火墙的优缺点
第6章防火墙技术 6.3防火墙配置 是通过在防火墙主机上设置过滤规侧来实现的.从防火墙主机和内网服务器的 位置来看,可以分成服务器置于防火墙之内、置于防火墙之外和置于防火墙 之上3种方式。这里以VinRoute软件防火墙为例来讲述如何配置防火墙的规侧则 ,以实现既定的目标 6.3.1服务器置于防火墙之内 WinRoute cth0:10.10.35.56 ethl:192.168.0. Web服务器 IP:192.168.0.8 ●2023年7月17日星期一6时50分26利
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 6.3 防火墙配置 • 是通过在防火墙主机上设置过滤规则来实现的.从防火墙主机和内网服务器的 位置来看,可以分成服务器置于防火墙之内、置于防火墙之外和置于防火墙 之上3种方式。这里以WinRoute软件防火墙为例来讲述如何配置防火墙的规则 ,以实现既定的目标。 • 6.3.1 服务器置于防火墙之内
第6章防火墙技术 ·2,配置过程 ·启动 Startup Preferences... WinRoute Administration... Start WinRoute Engine Exit 匹y9gVgB8122的 登录 Open Configuration ☒ -Configuration- WinRoute Host localhost 业sername:Admin Password oK☐Cancel 2023年7月17日星期一-6时50分26秒
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 2.配置过程 • 启动 • 登录
第6章防火墙技术 ·设置NAT Interfaces/NAI Interface Properties -Available Interfaces Intel (R)82577LC Gic.. 1216的.0.10 Interface Description Intel (R)WiFi Link1 Ethernet Wware Virteal Ether...192 168.245.1 IP address192.168.0.10 Wware Virtual Ether...192 168.127.1 25525 78-1b-6a ③S linel 0.00.0 Settings- Exclude this conputer fron og☐Canel bopiy 确定☐取消 四D 2023年7月17日星期一6时50分26秒
⚫2023年7月17日星期一6时50分26秒 第6章 防火墙技术 • 设置NAT ⚫ ⚫ 图6-8 Interfaces/NAT对话框 图6-9 Interface Properties对话框