Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3383384
  • 博文数量: 631
  • 博客积分: 10716
  • 博客等级: 上将
  • 技术积分: 8397
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-01 22:35
文章分类

全部博文(631)

文章存档

2020年(2)

2019年(22)

2018年(4)

2017年(37)

2016年(22)

2015年(1)

2013年(12)

2012年(20)

2011年(19)

2010年(20)

2009年(282)

2008年(190)

分类: 网络与安全

2008-05-23 22:08:44

第二章防火墙概述

2.1 防火墙简介

防火墙的定义:防火墙是控制介于不同网络区域的流量的一台设备或者一套系统。

 

2.2流量控制和OSI参考模型

OSI 参考模型概要

防火墙和OSI参考模型:防火墙能工作在 2 4 3 5 7 层;

 

2.3防火墙的种类

包过滤防火墙:

包过滤防火墙:工作在 3 4 层;过滤的类型信息有:

1.第三层的ip地址     2.第三层的协议信息

3.第四层的协议信息   4.发送或者接收流量的接口

包过滤防火墙的优点:

1.能以很快的速度处理数据包

2.易于配置绝大多数第三层和第四层报文头信息,在实施安全策略时提供许多灵活性

包过滤防火墙的局限性:

1.可能比较复杂比较不好配置

2.不能阻止应用层攻击

3.只对某些类型的TCP/IP攻击比较灵敏

4.不支持用户的连接认证

5.只用有限的日志功能

包过滤防火墙的使用:

1.作为第一防线(边界路由器);

2.当用包过滤就能完全实现安全策略并且认证不是一个问题的时候

3.在要求最低安全性并要考虑成本的SOHO网络中

包过滤防火墙的问题:如何解决反回或者出去的流量:解决方法:开放端口和检查TCP控制位

 

状态防火墙

状态防火墙保持对连接状态的跟踪:连接是否处于初始化,数据传输或者终止状态;工作在345 层;状态防火墙在状态处理过程中的一个优点就是当连接终止的时候,源和目的设备拆除连接,状态防火墙通过检查TCP头的控制标记注意到这个过程,并动态地将连接状态从状态表里删除。

状态防火墙的优点:

1.状态墙知晓连接状态

2.状态防火墙无须打开很大范围的端口允许通信

3.状态防火墙比包过滤防火墙阻止更多的DoS攻击,并有更丰富的日志功能

状态放火墙的局限性:

1.可能很复杂不容易配置

2.不能阻止应用层的攻击

3.不支持用户连接的认证

4.不是所有的协议包含状态信息

5.一些应用会打开多个接口,其中一些为附加连接使用动态端口

6.在维护状态表的时候会涉及到其他开销

状态防火墙的使用:

1.做为防御的主要方式

2.作为防御第一线的智能设备(带状态的边界路由器)

3.在需要比包过滤更严格的安全控制下,而不需要增加太多的成本

应用网关防火墙:

应用网关防火墙(AGF)通常被称为代理防火墙,工作在OSI 3 4 5 7 层;

认证过程:AGF的一个功能是它们通常首先对连接请求进行认证,然后再允许流量到达内外资源。认证过程发生在应用层的软件浏览器的弹出窗口

应用网关放火墙的类型:连接网关防火墙(CGF)(直通代理(Cut-Though proxy,CTP)

应用网关防火墙的优点: 1.认证个人,而不是设备

2.黑客几乎没有时间来进行欺骗和实施DoS攻击

3.能监控和过滤应用层数据4.能提供详细的日志

应用网关防火墙的局限性:

1.用软件处理数据包

2.只支持很少的应用

3.有时要求特定的客户端软件

地址转换防火墙:

可以解决两个问题:

1.扩展了我们支配ip地址的数目

2.隐藏了网络编址设计,地址转换防火墙工作在 3 4

地址转换防火墙的优点:

1.能隐藏网络编址设计

2.控制流量进入和离开网络

3.允许使用私有地址

地址转换的局限性:

1.因为数据的处理引入了时延

2.有些应用不支持地址转换

3.跟踪和排错更加困难

地址转换防火墙的使用:

1.当在内部网络中使用私有ip编址方案的时候

2. 当需要比较容易地分割俩个或者更多个网络的时候

基于主机的防火墙:

优点:1.能够增强安全性

2.有些能提供基于主机的认证3.成本低

局限性:

1.基于软件的防火墙

2.简化了包过滤

3.只有简单的日志功能

4.在大规模是使用的时候不容易管理

 

2.4防火墙设计

设计准则:

设计应该遵守下面的5个准则:

1.开发安全策略

2.建立一个简单的设计方案

3.按计划使用设备

4.实施一个分层的防御以提供额外的保护

5.考虑内部威胁方案,内部威胁应该被包括在内

 

DMZ

组件:

一个好的防火墙应该包括下面的组件:1.边界路由器2.防火墙3.vpn4.IDS/IPS

组件布局

防火墙实施

防火墙管理

 

2.5 IOS安全

IOS的使用 :

IOS路由器扮演的角色:

1.边界防火墙2. Internet防火墙3.内部防火墙4.vpn 集中器5.IDS/IPS

IOS 的安全特性:

关键好处:1.灵活性2.扩展性3.更容易供应和投资保护3.vpn支持

IOS 防火墙墙特性集:1.地址转换2.审记跟踪3.认证代理4.基本的过滤技术5.DoS6.

态端口映射6.入侵检测7.java小程序过滤8.实时警告9.路由器认证10.状态防火墙过滤11.URL

过滤12.语音连接支持

阅读(2772) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~