防火墻在網絡中的部署_第1頁
防火墻在網絡中的部署_第2頁
防火墻在網絡中的部署_第3頁
防火墻在網絡中的部署_第4頁
防火墻在網絡中的部署_第5頁
已閱讀5頁,還剩17頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、1v防火墻是一種防火墻是一種網絡邊界訪問控制設備網絡邊界訪問控制設備,能根據,能根據安安全策略全策略阻止在網絡之間或主機與網絡之間的未授阻止在網絡之間或主機與網絡之間的未授權的通信。即控制進出網絡的權的通信。即控制進出網絡的訪問行為訪問行為。它是不。它是不同網絡安全域間之間通信的同網絡安全域間之間通信的唯一通道唯一通道。內網和外網之間需要防火墻內網和外網之間需要防火墻企業(yè)或者機構局域網企業(yè)或者機構局域網Host A Host B Internet內網中不同安全域之間需要防火墻內網中不同安全域之間需要防火墻安全域1Host A Host B 安全域2Host C Host D v防火墻在網絡中的

2、位置與防火墻體系結構防火墻在網絡中的位置與防火墻體系結構Internet人事部研發(fā)部主要內容v1. 雙宿/多宿主機防火墻(Dual-Homed /Multi-Homed Host Firewall)v2. 屏蔽主機防火墻(Screened Host Firewall )v3. 屏蔽子網防火墻(Screened Subnet Firewall)基本概念 v 堡壘主機(堡壘主機(Bastion HostBastion Host):):堡壘主機是一種配置了安全防范措施的網絡上的計算機,堡壘主機為網絡之間的通信提供了一個阻塞點,也就是說如果沒有堡壘主機,網絡之間將不能相互訪問??梢耘渲贸蛇^濾型、代理型

3、或混合型。v 雙宿主機(雙宿主機(Dual-homed HostDual-homed Host):):有兩個網絡接口的計算機系統(tǒng),一個接口連接內部網,一個接口連接外部網. . 一種擁有兩個或多個連接到不同網絡上的網絡接口的一種擁有兩個或多個連接到不同網絡上的網絡接口的防火墻;防火墻; 1. 1. 雙宿雙宿/ /多宿主機防火墻多宿主機防火墻 優(yōu)點:優(yōu)點: 結構簡單結構簡單 缺點:缺點: 隔開內外網絡的唯一屏障,一旦被入侵,內隔開內外網絡的唯一屏障,一旦被入侵,內部網絡便完全暴露。部網絡便完全暴露。 由包過濾路由器和堡壘主機組成;由包過濾路由器和堡壘主機組成; 過濾路由器為堡壘主機建立安全屏障;過

4、濾路由器為堡壘主機建立安全屏障; 堡壘主機是內外信息的唯一通道。堡壘主機是內外信息的唯一通道。2. 2. 屏蔽主機防火墻屏蔽主機防火墻特點:特點: 堡壘主機成為從外部網絡唯一可直接到達的堡壘主機成為從外部網絡唯一可直接到達的主機,確保了內部網絡不受未被授權的外部用戶主機,確保了內部網絡不受未被授權的外部用戶的攻擊;的攻擊; 同時實現網絡層安全同時實現網絡層安全( (包過濾包過濾) )和應用層安全和應用層安全( (代理服務代理服務) );安全等級比包過濾防火墻系統(tǒng)高;安全等級比包過濾防火墻系統(tǒng)高;過濾路由器的配置是關鍵之一。過濾路由器的配置是關鍵之一。2. 2. 屏蔽主機防火墻屏蔽主機防火墻3.

5、 3. 屏蔽子網防火墻屏蔽子網防火墻v3.1 3.1 雙包過濾路由器架構雙包過濾路由器架構v3.2 3.2 單一防火墻架構單一防火墻架構v3.3 3.3 雙重防火墻架構雙重防火墻架構 3.1 3.1 雙包過濾路由器架構雙包過濾路由器架構采用了兩個包過濾路由器和一個堡壘主機,在內采用了兩個包過濾路由器和一個堡壘主機,在內外網絡之間建立了一個被隔離的子網。外網絡之間建立了一個被隔離的子網。3. 3. 屏蔽子網防火墻屏蔽子網防火墻特點:特點: 將堡壘主機,各種公用服務器放在非軍事區(qū)網將堡壘主機,各種公用服務器放在非軍事區(qū)網絡中;絡中; 內部網絡和外部網絡均可訪問屏蔽子網,但禁內部網絡和外部網絡均可訪

6、問屏蔽子網,但禁止它們穿過屏蔽子網通信;止它們穿過屏蔽子網通信; 外部路由器把入站的數據包路由到堡壘主機。外部路由器把入站的數據包路由到堡壘主機。3.13.1雙包過濾路由器架構雙包過濾路由器架構特點(續(xù))特點(續(xù)) 內部路由器保護內部網絡不受外部網絡和周內部路由器保護內部網絡不受外部網絡和周邊網絡的侵害;執(zhí)行大部分過濾工作。邊網絡的侵害;執(zhí)行大部分過濾工作。 即使堡壘主機被入侵者控制,內部網仍受到即使堡壘主機被入侵者控制,內部網仍受到內部包過濾路由器的保護。內部包過濾路由器的保護。 多個堡壘主機運行各種代理服務,可以更有多個堡壘主機運行各種代理服務,可以更有效地提供服務。效地提供服務。3.1

7、3.1 雙包過濾路由器架構雙包過濾路由器架構3. 3. 屏蔽子網防火墻屏蔽子網防火墻3.1 3.1 雙包過濾路由器架構雙包過濾路由器架構3.2 3.2 單一防火墻架構(單一防火墻架構(4 4個層次)個層次) 外部路由器 外部路由器與防火墻間網絡分段區(qū)域 DMZ分段區(qū)域 防火墻3.3 3.3 雙重防火墻架構雙重防火墻架構3.2 3.2 單一防火墻架構單一防火墻架構3.2 3.2 單一防火墻架構單一防火墻架構3.2 3.2 單一防火墻架構單一防火墻架構增加入侵檢測增加入侵檢測/ /防護系統(tǒng)防護系統(tǒng)3.3 3.3 雙重防火墻架構雙重防火墻架構v雙重防火墻架構由雙重防火墻架構由5 5個層次組成個層次組成 外部路由器 外部路由器與外部防火墻之間網絡分段區(qū)域 外部防火墻 DMZ

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論