ImageVerifierCode 换一换
格式:PPT , 页数:38 ,大小:4.52MB ,
文档编号:3007895      下载积分:25 文币
快捷下载
登录下载
邮箱/手机:
温馨提示:
系统将以此处填写的邮箱或者手机号生成账号和密码,方便再次下载。 如填写123,账号和密码都是123。
支付方式: 支付宝    微信支付   
验证码:   换一换

优惠套餐
 

温馨提示:若手机下载失败,请复制以下地址【https://www.163wenku.com/d-3007895.html】到电脑浏览器->登陆(账号密码均为手机号或邮箱;不要扫码登陆)->重新下载(不再收费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  
下载须知

1: 试题类文档的标题没说有答案,则无答案;主观题也可能无答案。PPT的音视频可能无法播放。 请谨慎下单,一旦售出,概不退换。
2: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
3: 本文为用户(三亚风情)主动上传,所有收益归该用户。163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

1,本文(防火墙的关键技术课件.ppt)为本站会员(三亚风情)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!

防火墙的关键技术课件.ppt

1、第二讲:防火墙关第二讲:防火墙关键技术键技术计算机科学与技术学院计算机科学与技术学院主讲人:吕宏武主讲人:吕宏武网络安全防护技术讲义网络安全防护技术讲义MAIN POINTSMAIN POINTSp 包过滤技术包过滤技术p 状态包过滤技术状态包过滤技术p NAT网络地址转换技术网络地址转换技术p 代理技术代理技术MAIN POINTSMAIN POINTSp 学习的目标学习的目标l理解理解包过滤技术包过滤技术l掌握掌握NAT转换的基本原理转换的基本原理l了解防火墙代理技术了解防火墙代理技术1 1、包过滤技术、包过滤技术p 包过滤原理包过滤原理l分组交换网络,包含信息头部和数据信息两部分分组交换

2、网络,包含信息头部和数据信息两部分l工作在网络层和传输层工作在网络层和传输层l根据首部信息决定处理方式根据首部信息决定处理方式l理论上可以对报头的任意数据域进行过滤理论上可以对报头的任意数据域进行过滤1 1、包过滤技术、包过滤技术p IPv4的头部的头部1 1、包过滤技术、包过滤技术p TCP的头部的头部1 1、包过滤技术、包过滤技术p 包过滤的规则表包过滤的规则表l数据包过滤访问控制列表数据包过滤访问控制列表ACLl只有满足规则的数据包才被转发只有满足规则的数据包才被转发1 1、包过滤技术、包过滤技术p 包过滤的规则表包过滤的规则表l还可以包含还可以包含TCP包的序列号、包的序列号、IP校验

3、和、网卡名称等校验和、网卡名称等1 1、包过滤技术、包过滤技术p 通常被阻止的数据包通常被阻止的数据包l部分内网数据包部分内网数据包1 1、包过滤技术、包过滤技术p 包过滤的优缺点包过滤的优缺点l优点是简单优点是简单l缺点是:缺点是:过滤依据的信息有限过滤依据的信息有限缺少审计和报警机制缺少审计和报警机制不能对用户身份验证不能对用户身份验证规则数目受限,规则表太大时,性能受影响规则数目受限,规则表太大时,性能受影响对安全管理人员的要求很高对安全管理人员的要求很高由于缺少上下文关联信息,难以处理动态端口连由于缺少上下文关联信息,难以处理动态端口连接接1 1、包过滤技术、包过滤技术p 包过滤的优缺

4、点包过滤的优缺点lEX1l仅开通内部主机对外部仅开通内部主机对外部Web服务的访问服务的访问?1 1、包过滤技术、包过滤技术p 包过滤的优缺点包过滤的优缺点lEX2l包过滤防火墙对于包过滤防火墙对于TCP ACK隐蔽扫描的处理分析隐蔽扫描的处理分析?1 1、包过滤技术、包过滤技术p 包过滤的优缺点包过滤的优缺点lEX2l包过滤防火墙对于包过滤防火墙对于TCP ACK隐蔽扫描的处理分析隐蔽扫描的处理分析?2 2、状态包过滤技术、状态包过滤技术p 状态包过滤技术状态包过滤技术l基于连接的状态检测机制,将属于同一连接的所有基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流来看待包作为

5、一个整体的数据流来看待l过滤规则表过滤规则表+状态表状态表2 2、状态包过滤技术、状态包过滤技术p状态包过滤技术状态包过滤技术l基于连接的状态检测机制,将属于同一连接的所有基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流来看待包作为一个整体的数据流来看待l过滤规则表过滤规则表+状态表状态表2 2、状态包过滤技术、状态包过滤技术p状态包过滤技术状态包过滤技术l重新分析重新分析EX1l OUT | 主机主机A地址:地址:* | 服务器地址:服务器地址:80 | TCP协议协议 | 接收并加入状态表接收并加入状态表2 2、状态包过滤技术、状态包过滤技术p状态包过滤技术状态包过滤技术

6、l重新分析重新分析EX22 2、状态包过滤技术、状态包过滤技术p状态包过滤技术状态包过滤技术l也可以保护更复杂的情况,如也可以保护更复杂的情况,如UDPlFTP需要两个连接,控制端口一般为需要两个连接,控制端口一般为21,而数据端,而数据端口一般为口一般为202 2、状态包过滤技术、状态包过滤技术p状态包过滤技术的优缺点状态包过滤技术的优缺点l访问控制列表管理与维护困难:规模、顺序访问控制列表管理与维护困难:规模、顺序l难以详细了解主机之间的会话关系难以详细了解主机之间的会话关系l底层难以实现对应用层服务的过滤底层难以实现对应用层服务的过滤l查询状态表查询状态表2 2、NATNAT技术技术pN

7、ATl最初只是为了将私有最初只是为了将私有IP映射到公网映射到公网lIP地址短缺地址短缺l内部地址隐藏内部地址隐藏l负载均衡负载均衡l网络地址交叠网络地址交叠2 2、NATNAT技术技术p 静态静态NATl私有私有IP:公网:公网IP 1 to 152 2、NATNAT技术技术p 动态动态NATl私有私有IP:公网:公网IP m to n2 2、NATNAT技术技术p 动态动态NATlPAT IP地址地址+端口号:网络套接字映射端口号:网络套接字映射l节省节省IP地址地址l隐藏内部拓扑结构隐藏内部拓扑结构2 2、NATNAT技术技术pNAT实现负载均衡实现负载均衡l与与NAT映射表中相匹配的目

8、的地址会被内网集中的映射表中相匹配的目的地址会被内网集中的一个地址所替代一个地址所替代l以连接为单位轮询进行以连接为单位轮询进行l由外部发起到内部新连接时才执行由外部发起到内部新连接时才执行2 2、NATNAT技术技术pNAT实现负载均衡实现负载均衡2 2、NATNAT技术技术pNAT处理网络地址交叠处理网络地址交叠l两个公司合并两个公司合并l方案移植方案移植2 2、NATNAT技术技术pNAT技术缺点技术缺点l某些应用层协议无法使用某些应用层协议无法使用NAT:与端口关联:与端口关联l安全问题:静态安全问题:静态/数据包中的相关地址不能替换数据包中的相关地址不能替换l对内部主机的引诱和木马攻

9、击无抵御能力对内部主机的引诱和木马攻击无抵御能力l状态表超时问题状态表超时问题3 3、代理技术、代理技术pProxyl基于应用层信息处理问题,不再基于数据包基于应用层信息处理问题,不再基于数据包3 3、代理技术、代理技术p应用层代理应用层代理l针对每一种应用编制专门的代理程序针对每一种应用编制专门的代理程序lHTTP、SMTP、POP3、Telnet3 3、代理技术、代理技术p应用层代理应用层代理l代理服务程序接受内网用户请求代理服务程序接受内网用户请求l访问规则检查表进行核查(允许的请求类型)访问规则检查表进行核查(允许的请求类型)lIF允许,代理服务程序将请求转发给外部真正的服允许,代理服

10、务程序将请求转发给外部真正的服务程序。务程序。l当会话建立后,代理仅承担中转站的任务。当会话建立后,代理仅承担中转站的任务。l内网用户和外部服务器之间传超数据,担当内网用户和外部服务器之间传超数据,担当C/S双重双重角色;角色;l代理服务包括两个部分:代理服务器端程序和代理代理服务包括两个部分:代理服务器端程序和代理客户端程序客户端程序3 3、代理技术、代理技术p应用层代理应用层代理l无无ACK攻击扫描问题,不是有意义的应用请求攻击扫描问题,不是有意义的应用请求l结合协议进行检测结合协议进行检测l如如HTTP,检查是否是正确格式,而不仅仅是,检查是否是正确格式,而不仅仅是80端端口口l如如FT

11、P,可以,可以get 不可不可put3 3、代理技术、代理技术p应用层代理优点应用层代理优点l经常访问的信息可以缓存经常访问的信息可以缓存l支持用户认证支持用户认证l配置规则简单配置规则简单l完全控制会话,可提供详细日志和安全审计完全控制会话,可提供详细日志和安全审计l可隐藏内部可隐藏内部IPl代理访问解决内部代理访问解决内部IP不足不足3 3、代理技术、代理技术p应用层代理缺点应用层代理缺点l吞吐量瓶颈吞吐量瓶颈l有限的连接性,提供独特的有限的连接性,提供独特的Proxyl不能支持不能支持RPC、TALK等协议族等协议族3 3、代理技术、代理技术p传输层代理传输层代理SOCKSl不再是一种应用一种代理不再是一种应用一种代理lSOCKS服务端、服务端、 SOCKS客户端客户端l服务端实现在应用层服务端实现在应用层l客户端实现在应用层和传输层之间客户端实现在应用层和传输层之间l无需直接的无需直接的IP联通性前提联通性前提l对高层透明对高层透明lSOCKS 53 3、代理技术、代理技术p传输层代理传输层代理SOCKS静态包过滤防火墙静态包过滤防火墙配置实例配置实例(1)静态包过滤防火墙静态包过滤防火墙配置实例配置实例(2)

侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|