当前课程知识点:大学计算机基础 > 第九章 信息安全 > 9-3防火墙技术 > 9-3防火墙技术
大家好
这一节我们来学习防火墙技术
防火墙是应用最为广泛的网络安全技术
在构建安全网络环境的过程当中
防火墙被称为网络的第一道安全防线
防火墙是由硬件和软件构成的系统
硬件包括路由器,服务器等等
部署在两个网络之间
防火墙用来限制被保护的内部网络
与外网之间数据的流动
实现内外网的隔离
仅允许被安全策略批准的数据通过
防火墙的主要功能有四个
第一
控制对网站的访问和封锁网站信息的泄漏
以企业为例
内部网络的安全级别高
被认为是安全可信的
而外部网络通常是指Internet
被认为是不安全的
因为所有进出内网的数据都要经过防火墙
所以防火墙可以控制对内网的访问
也可以封锁内网信息的泄漏
第二,限制被保护子网的暴露
因为内部网络的主机
不再直接和Internet通讯
而是通过了防火墙
第三个功能
因为防火墙是内外网信息流的唯一通道
所以还具有审计的功能
完整地记录了网络通讯的情况
管理员可以通过分析日志
发现潜在的威胁,及时地调整安全策略
防火墙的第四个功能
是防火墙对企业内部网
实现了集中的安全管理
可以强化网络安全策略
比分散的主机管理要更经济可行
防火墙它有多种形式
有的就是一个软件
运行在普通的计算机操作系统上
有的是以硬件的形式单独实现
还有的是以固件的形式设计在路由器当中
总的来说,防火墙可以分成三种
包过滤防火墙
应用层网关防火墙和复合型防火墙
下面我们分别来看一下这三种防火墙
首先是包过滤技术
那它是最早应用于防火墙的技术
也是最简单的防火墙技术
包过滤技术
是指防火墙对接收的每个数据包进行检查
允许或拒绝这个数据包的通过
首先由系统管理员制定好包过滤规则
过滤规则主要是基于TCP/IP数据包
报头里面的信息
如源IP地址,IP目标地址
协议类型, 目标端口等等
包过滤通常由路由器来完成
路由器审查每个数据包
以便确定它是否和某一条包过滤规则匹配
例如我们看这个例子
外网的主机A发送数据给内网的主机C
该数据包被防火墙拦截
通过检查过滤规则
从主机A发到主机C的TCP协议的数据包
是允许通过的
于是数据包被放行到达主机C
如果是外网的主机B
发送给内网主机C的UDP协议的数据包
按照防火墙的过滤规则
就会丢弃这个数据包
包过滤的优点是
因为它工作在网络层和传输层
和应用层无关
所以不用改动主机上的应用程序
一个包过滤防火墙能够协助保护整个网络
而且过滤路由器速度快,效率高
但是因为包过滤防火墙
它基于的是TCP/IP数据包报头里的信息
不能对应用层的数据进行检查
对于某些应用需求
包过滤防火墙就满足不了了
比如企业它允许内网的员工
访问外网的某些网站
但仅允许查看网站的文字
不能查看网站的图片,音频和视频
或者允许员工访问某些网站
但拒绝从网站上下载文件
对于这些需求就需要另一种防火墙
就是我们下面要说的
应用层网关防火墙来解决
应用层网关防火墙部署在应用层
起着监视和隔绝应用层数据的作用
应用层网关根据安全规则
对数据包的内容进行过滤
以决定该数据包是否允许通过
在应用层,数据包已经被层层剥离了
我们就能够区分出数据的类型
哪些是图片,哪些是文本
从而实现上面提到的需求
应用层网关采用的是一种代理技术
为每个特定的应用
如万维网应用,文件传输应用
电子邮件等等
在网关上安装代理服务软件
因此应用层网关也被称为代理服务器
代理服务器接收客户机的访问请求
然后自己另外建立到目标机的连接
代理客户机去向服务器发起访问
根据安全规则检查访问内容
然后再决定这个内容是否允许进入内部网
并将允许的内容发回原来的客户机
我们来看一个应用层网关的例子
内网的一台客户机通过Web浏览器
访问外网的Web服务器
该请求被应用层网关防火墙拦截
防火墙根据安全规则进行检查
如果这个请求是允许通过的
应用层网关
另外建立一个从它到Web服务器的请求
Web服务器的应答返回以后
首先也到达应用网关
网关对应答的内容再进行过滤
然后再将检查通过的应答
发回给客户端的浏览器
应用层网关的优点是代理易于配置
能过滤数据的内容
但缺点是代理的速度比路由器慢
对用户不透明
对于不同的服务需要安装不同的代理程序
出于对更高安全性的要求
我们常常把基于包过滤�������方法
和基于应用代理的方法把它们结合起来
形成了一种叫做复合型的防火墙产品
复合型防火墙有两种实现方案
屏蔽主机防火墙体系结构
和屏蔽子网防火墙体系结构
在屏蔽主机防火墙体系结构中
包过滤路由器它隔离内部网络和外部网络
同时我们放置一台堡垒主机在内部网络
堡垒主机是一种配置了
安全防范措施的计算机
位于内部网络的最外层
像堡垒一样防护内部网络
在路由器上设置数据包的过滤规则
使堡垒主机成为外部网络
唯一可以访问的主机
这确保了内网其它主机不受外部的攻击
在堡垒主机上
可以再为不同的应用服务提供代理
例如当外网的用户要访问
内网的Web服务器时
首先由包过滤路由器
判断外网用户的IP地址
是不是内部网络禁止的
如果是,则丢弃这个数据包
如果不是
这个IP包不是直接送到企业内网的
Web服务器上
而是被送到了堡垒主机
由应用代理判断
发出这个IP包请求的用户
他是不是一个合法用户
如果是合法用户
这个IP包才被送到企业内网的
Web服务器去处理
否则堡垒主机就会丢弃这个数据包
复合型防火墙的第二种
是屏蔽子网防火墙体系结构
用一个屏蔽子网来隔绝内外网络
屏蔽子网中
包括一台堡垒主机和两个包过滤路由器
路由器分别放在子网的两端
堡垒主机和包过滤路由器
共同构成了防火墙
外部包过滤路由器
只允许对屏蔽子网的访问
拒绝对内网的访问
内部包过滤路由器保护内部网络
拒绝外网发起的一切连接
只允许内部对外的访问
除了堡垒主机
企业的Web服务器, 邮件服务器
和其它公共服务器
也可以放置在屏蔽子网中
比如说Web服务器上运行的是企业的网站
为了企业的宣传允许外网用户进行访问
复合型防火墙它综合了包过滤和代理技术
能够从数据链路层到应用层
进行全方位的安全处理
但防火墙也有一些不足之处
包括像防火墙
它只是一种边界的安全防护系统
不能防范内部人员发起的攻击
防火墙的配置是基于已知攻击制定的
无法对新的攻击进行防范
需要经常更新配置
最后我们来总结一下
这一节我们介绍了防火墙技术
包括包过滤防火墙
应用层网关防火墙和复合型防火墙
以及复合型防火墙的两种实现方案
包括屏蔽主机结构和屏蔽子网结构
谢谢大家的观看
-1-1 计算机的诞生
--第一章 习题1
--计算机的诞生1
--计算机的诞生2
-1-2 计算机的分类
--第一章 习题2
--计算机的分类
-1-3 计算机的应用领域
--第一章 习题3
-1-4 计算机系统组成
--第一章 习题4
--计算机系统组成1
--计算机系统组成2
-1-5 计算机思维的定义
--第一章 习题5
--计算思维1
-1-6 计算思维的特点
--第一章 习题6
--计算思维2
-1-7 计算思维的应用案例
--第一章 习题7
--计算思维3
-第一章 章测试
-2-1 进位计数制表示方法
--第二章 习题1
-2-2 进位计数制的相互转换
--第二章 习题2
--进位计数制2
-2-3 整数的表示方法
--第二章 习题3
--整数的表示1
-2-4 浮点数表示方法
--第二章 习题4
--浮点数的表示1
-2-5 BCD格式表示法
--第二章 习题5
--BCD码
-2-6 算术运算
--2-6 算术运算
--第二章 习题6
-2-7 运算溢出及判断
--第二章 习题7
--运算的溢出
-2-8 逻辑运算
--2-8 逻辑运算
--第二章 习题8
--逻辑运算
-2-9 ASCII编码
--第二章 习题9
-2-10 Unicode编码
--第二章 习题10
-2-11汉字编码
--2-11汉字编码
--第二章 习题11
--汉字编码
-2-12数据校验编码
--第二章 习题12
--数据校验编码
-第二章 章测试
-3-1中央处理器
--3-1中央处理器
--第三章 习题1
--中央处理器
-3-2 存储器
--3-2 存储器
--第三章 习题2
--存储器1
--存储器2
--存储器3
-3-3 总线和接口
--第三章 习题3
--总线
-3-4 外部设备
--3-4 外部设备
--第三章 习题4
--外部设备
-3-5 冯.诺依曼体系结构
--第三章 习题5
-3-6 计算机常用性能指标
--第三章 习题6
--性能指标1
--性能指标2
-3-7嵌入式系统
--第三章 习题7
--嵌入式系统
-3-8哈佛体系结构
--第三章 习题8
--哈佛体系结构
-3-9 DSP简介
--3-9DSP简介
--第三章 习题9
--DSP
-3-10 虚拟台式计算机模拟器
--虚拟桌面架构
-3-11 4位计算机模拟器
-第三章 章测试
-4-1计算机软件分类
--第四章 习题1
--软件分类
-4-2软件的工作模式
--第四章 习题2
--软件的工作模式
-4-3软件的安装方法
--第四章 习题3
--软件安装
-4-4计算机软件生命周期
--第四章 习题4
--生命周期1
--生命周期2
--生命周期3
--软件测试1
--软件测试2
-4-5计算机软件开发过程模型
--第四章 习题5
- 4-6 常用软件介绍-办公软件
--第四章 习题6
-办公软件实例1 文字处理软件
-办公软件实例2 电子表格软件
-办公软件实例3 演示文稿软件
-4-7 常用软件介绍-多媒体创作软件
--第四章 习题7
-多媒体创作软件实例1 音频处理软件
-多媒体创作软件实例2 图像处理软件
-多媒体创作软件实例3 动画制作软件
-多媒体创作软件实例4 视频处理软件
-4-8 常用软件介绍-网页制作软件
--第四章 习题8
-第四章 章测试
-5-1 操作系统概述
--第五章 习题1
--操作系统
--操作系统分类
--操作系统管理
-5-2 Windows 7基本操作
--第五章 习题2
-5-3 Windows 7文件管理
--第五章 习题3
-5-4 Windows 7程序管理
--第五章 习题4
-5-5 Windows 7系统安全
--第五章 习题5
--操作系统安全
-5-6 Windows 7计算机管理
--第五章 习题6
-5-7 Dos命令
--第五章 习题7
--dos
-5-8 Windows 7常用软件
--第五章 习题8
-5-9 Linux操作系统
--第五章 习题9
--Linux
-5-10 手机操作系统
--第五章 习题10
-5-11 虚拟机及Vmware介绍
--第五章 习题11
--虚拟机
--虚拟机使用
-第五章 章测试
-6-1 算法基础
--6-1 算法基础
--第六章 习题1
-6-2 程序设计语言分类
--第六章 习题2
-6-3 程序设计过程
--第六章 习题3
-6-4 程序设计方法
--第六章 习题4
-6-5 程序设计语言基本要素(一)
--第六章 习题5
-6-6 程序设计语言基本要素(二)
--第六章 习题6
-6-7 Python简介及编程环境配置
--第六章 习题7
-6-8 程序设计应用举例
--第六章 习题8
-第六章 章测验
-7-1 数据库技术概述
--第七章 习题1
--信息和数据
-7-2 数据库管理系统
--第七章 习题2
--数据库管理系统
-7-3 数据库系统的组成与功能
--第七章 习题3
--独立性
--数据库系统分类
-7-4 关系模型的数据结构
--第七章 习题4
--E-R图
--三级模式结构
-7-5 关系模型的数据操作及完整性约束
--第七章 习题5
--关系模型
--数据库范式
--完整性约束
-7-6 Access数据库的建立
--第七章 习题6
--Access
-7-7 Access的数据查询
--第七章 习题7
-第七章 章测试
-8-1计算机网络概述
--第八章 习题1
--定义
-8-2网络分类
--8-2网络分类
--第八章 习题2
--分类
-8-3数据传输
--8-3数据传输
--第八章 习题3
--数据传输
-8-4网络拓扑结构
--第八章 习题4
--网络拓扑结构
-8-5网络体系结构
--第八章 习题5
--网络体系结构
-8-6网络互连
--8-6网络互连
--第八章 习题6
--网络互连
-8-7Internet基础:TCP╱IP协议结构
--第八章 习题7
--TCP/IP模型
--IP协议
-8-8Internet基础:IP地址
--第八章 习题8
--IP地址
-8-9Internet基础:域名系统
--第八章 习题9
--域名
-8-10Internet基础:Internet的基本服务
--8-10Internet基础:Internet的基本服务
--第八章 习题10
--Internet
-8-11Internet基础:Internet的接入
--第八章 习题11
-第八章 章测试
-9-1信息安全的基本概念
--第九章 习题1
--信息安全的CIA
--攻击与防御
-9-2 密码技术及应用
--第九章 习题2
--数字签名
-9-3防火墙技术
--9-3防火墙技术
--第九章 习题3
--防火墙的分类
--防火墙的基本特性
-9-4恶意软件
--9-4恶意软件
--第九章 习题4
--恶意软件类型
-9-5入侵检测技术
--第九章 习题5
--入侵检测概念原理
--入侵检测分类
-第九章 章测试
-10-1 云计算
--10-1 云计算
--第十章 习题1
-10-2大数据
--10-2大数据
--第十章 习题2
-10-3物联网
--10-3物联网
--第十章 习题3
-10-4机器学习
--10-4机器学习
--第十章 习题4
-10-5人工智能
--10-5人工智能
--第十章 习题5
-10-6物联网应用
-第十章 章测验
-1-0 准备步骤
--1-0 准备步骤
-1-1 台式机组装
-1-2 笔记本电脑组装
-3-1 启动和退出Word
-3-2 创建、编辑和保存Word文档
-3-3 封面的制作
--封面的制作-1
--封面的制作-2
--封面的制作-3
--封面的制作-4
-3-4 长文档编辑
--长文档编辑
-3-5 页面插入与目录
-3-6 页眉页脚与页码
-3-7 完成文档
-4-1 创建和编辑Excel表格
-4-2 简单公式和函数
-4-3 插入图表
--4-3 插入图表
-4-4 电子表格中数据的管理
-5-1 创建演示文稿与添加幻灯片
-5-2 编辑演示文稿
-5-3 设置演示文稿外观
-5-4 交互式演示文稿的设置
-5-5 设置演示文稿动画和音乐
-5-6 演示文稿放映
-6-1 图像的修饰
-6-2 淡黄色的记忆
-6-3 心形贺卡
--6-3 心形贺卡
-6-4 燃烧字
--6-4 燃烧字
-6-5 闻味的小狗狗
-6-6 换脸
--6-6 换脸
-7-1 逐帧动画的制作
-7-2 动作补间动画的制作
-7-3 形状补间动画的制作
-8-1 网站制作前期工作
-8-2 在Dreamweaver中建立和管理站点
-8-3设计制作网站主页
-8-4 制作网站导航栏
-8-5 修饰美化页面
-8-6 填写页面内容
-8-7 设计制作次级页面并建立链接
-9-1 Python的下载
-9-2 Python的安装
-9-3 IDLE的使用
-9-4 求矩形的周长和面积
-9-5 求三角形的面积
-9-6 求素数
--9-6 求素数
-10-1 数据库的建立
-10-2 SQL的应用
-11-1 Packet Tracer简介及下载方法
-11-2 有线网络的组网与配置
-11-3 无线网络的组网及无线路由配置
-12 无线网络安全配置