包过滤防火墙和灵巧网关设置

张焕杰安徽中科大讯飞信息科技有限公司james@ustc.
edu.
cnhttp://202.
38.
64.
2/~james/Tel:3601897(O)主要内容防火墙技术包过滤防火墙灵巧网关设置参考资料:计算机网络安全基础,袁津生等,人民邮电出版社网络隔离与防火墙技术根据安全等级不同将网络划分不同的部分各个部分之间采用物理、逻辑隔离或受限访问方式互连物理隔离网络间禁止有物理通信线路连接逻辑隔离协议转换受限访问防火墙防火墙技术Firewall来源于建筑业,用墙来分隔建筑物的各个部分,并具有防火功能.
万一某一部分或单元失火时,火灾被限制在一个局部范围内,其它部分不会受到损害.

防火墙技术主要介绍:1.
防火墙基本概念2.
防火墙的分类3.
包过滤4.
代理服务防火墙基本概念防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰.
本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信.
网络边界上访问控制设施.
根据预先定义的策略控制穿过防火墙的信息流通.

防火墙基本概念由软件和硬件组成的防火墙应该具有以下功能:所有进出网络的通信流都应该通过防火墙.
所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权.
理论上说,防火墙是穿不透的.
被策略禁止的通信不能通过被防火墙.

防火墙基本概念防火墙在因特网与内部网中的位置从逻辑上讲,防火墙是一个控制器,控制内外网之间的通信.
从物理角度看,防火墙物理实现的方式有所不同.
通常防火墙是一组硬件设备,即路由器、计算机或者是路由器、计算机和配有适当软件的网络的多种组合.

防火墙基本概念防火墙的基本功能防火墙能够强化安全策略防火墙能有效地记录因特网上的活动防火墙限制暴露用户点防火墙是一个安全策略的检查站防火墙的不足之处不能防范恶意的知情者防火墙不能防范不通过它的连接防火墙不能防备全部的威胁防火墙不能防范病毒防火墙分类包过滤型根据数据包的源地址、目的地址、协议、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过.
外在表现:路由型、透明网桥型、混合型优点:性能高,对应用透明,使用方便缺点:安全控制粒度不够细防火墙分类应用层代理对不同的应用进行相关的特殊处理,一般具有身份认证、访问控制、日志等功能.
不同的应用需要不同的代理:HTTP、FTP、TELNET、SMTP、POP3优点:安全控制粒度细,可以实现基于用户的控制缺点:每种应用要设置,对用户不透明,不是所有应用都支持代理使用复杂性能低防火墙分类代理的实现过程防火墙分类链路级代理类似于应用层代理,区别是不针对专门应用协议,而是针对TCP、UDP连接进行中继服务,一般具有身份认证、访问控制、日志等功能,最典型的是socks代理.
优点:安全控制粒度适中,可以实现基于用户的控制在Windows环境下,通过截获winsock调用,基本上可以做到对应用透明,使用方便缺点:性能低包过滤防火墙包过滤型防火墙是应用最普遍的防火墙.
包是网络上信息流动的单位.
包过滤型防火墙对经过它的数据包进行处理,仅仅允许安全策略允许的数据包通过.
其他的数据包全部丢弃.
在处理过程中可以进行日志记录.
包过滤一直是一种简单而有效的方法.
通过拦截安全策略不允许的数据包,保护内部网络的安全.