没有合适的资源?快使用搜索试试~ 我知道了~
防火墙及三层交换机地功能与作用.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 62 浏览量
2022-02-04
11:21:24
上传
评论
收藏 166KB DOCX 举报
温馨提示
试读
37页
防火墙及三层交换机地功能与作用.docx
资源推荐
资源详情
资源评论
防火墙
定义
所谓防火墙指的是一个由软件和硬件设备组合而成、 在内部网和外部网之间、专用网与
公共网之间的界面上构造的保护屏障 •是一种获取安全性方法的形象说法,它是一种计算机 硬件和软件的结合,
使 In terne t 与 Intranet 之间建立起一个安全网关
用网关 4 个部分组成,
防火墙就是一个位于计算机和它所连接的网络之间
的软件或硬件。该计算机流入流出的所有网络通信均要
经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公
介诜问取 I (如 In ternet)分开的方法,它生际卜整一种隔案;
技术。防火墙是在两个网络通讯时执行的一种访问控制尺度, 它能允许你“同意”的人和数
据进入你的网络
,
同时将你“不同意”的人和数据拒之门外, 最大限度地阻止网络中的黑客
来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问 In ternet
In ternet 上的人也无法和公司内部的人进行通信。
编辑本段作用
防火墙具有很好的保护作用。 入侵者必须首先穿越防火墙的安全防线, 才能接触目标计
频流等,但至少这是你自己的保护选择。
古代防火墙作用:古人在建筑物的两侧山墙和后檐墙上,不开门窗,不采用可燃材料,谓之风火檐,也 称封火檐。
这是防火墙的一种形式。故宫内也有这种防火墙。据清朝《钦定四库全书》中的《国朝宫史》 (卷三)记载,雍正五年
十一月二十三日(1728 年 1 月 4 日)雍正皇帝在“上谕”中指出:“宫中火烛 最要小心。如日精门、月华门向前一带,围房
(Security Gateway),
从而保护内部网免受非法用户的侵入,
防火墙主要由服务访问规则、验证工具、包过滤和应
算机。你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务, 如视
后俱有做饭值房。虽尔等素知小心,凡事不可不为之预防。可 将围房后檐改为风火檐。即十二宫上大房有相近做饭小房
之处,着其意改风火檐者亦行更改。”雍正皇帝 为了接受皇宫内过去发生火灾的教训,命令工部大臣将三大殿东西配殿以
及东六宫、西六宫的两侧山墙和 后檐墙统统改为风火檐,全然不用木质材料。这十三处防火墙的总长度约 4000 米,对于
防止故宫内火势蔓 延发挥了应有的作用。
编辑本段类型
网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方
式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或 修改,不过某
些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放
行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或
端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段…等
属性来进行过滤。
应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作
,
您使用浏览器时所产生的数据流或是使用 FTP
时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包
(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全
阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不 过就实现而言,
这个方法既烦且杂 (软件有千千百百种啊),所以大部分的防火
墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性, 同时也是一个
前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企 业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网 络边界的安全
保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之 间连接、和其它业务往来单
位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网 络连接之间建立一个安全控制点,通过允许、
拒绝或重新定向经过防火墙的数据流,实现对进、出内部网 络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域 网,而另一端
则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
(二)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并 在此前提下将
网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始 的防火墙是一台“双穴主机”,
即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通 过相应的网络接口接收上来,按照 OSI 协议栈
的七层结构顺序上传,在适当的协议层进行访问规则和安全 审查,然后将符合通过条件的报文从相应的网络接口送出,条
件的报文则予以阻断。因此,从这个角度上来
说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口 >=2 )转发设 备,它跨
接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。如下图:
(三)防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的 先决条件。
而对于那些不符合通过
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的人侵,这样就要求 防火墙自身要具有非常强的
抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有 自身具有完整信任关系的操作系统才可以谈
论系统的安全性。其次就是防火墙自身具有非常低的服务功 能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防
火墙上运行。当然这些安全性也只能说是相 对的。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比 国内产品高。
而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主 流厂商为思科(Cisco
)、Checkpoint、NetScreen 等,国内主
流厂商为东软、天融信、山石网科、网御神州、联想、方正等,它们都提供不同级别的防火墙产品。
代理服务设备(可能是一台专属的硬件,或只是普通机器上的一套软件)也能像应用程序一样回应 输入封包(例如
连接要求),同时封锁其他的封包,达到类似于防火墙的效果。
代理由外在网络使窜改一个内部系统更加困难,并且一个内部系统误用不一定会导致
一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置 )。相反地,
入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的 ;代理人然后
伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如 IP 欺骗试图通过小
包对目标网络。
防火墙经常有网络地址转换(NAT)的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人 地址空间”,依
照被定义在[RFC 1918]。管理员经常设置了这样情节在努力(无定论的有效率)假装内 部地址或网络。
防火墙的适当的配置要求技巧和智能。它要求管理员对网络协议和电脑安全有深入的了解。因小差错
可使防火墙不能作为安全工具。
编辑本段优点
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录 Internet 上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影 响一个网段的
问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的 检查点,使可
疑的访问被拒绝于门外。
编辑本段功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不 可信任的区域,
而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功 能相似。它有控制信息基本的任
务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区 域)和一个内部网络(一个高信任的区域)。最终目标是
提供受控连通性在不同水平的信任区域通过安 全政策的运行和连通性模型之间根据最少特权原则。
例如:TCP/IPPort 135-139 是 Microsoft Windows 的【网上邻居】所使用的。如果 计算机有使用 【网上邻居】
的【共享文件夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【共享文件
夹】公开到 Internet,供不特定的任何人有机会浏览目录内的文
剩余36页未读,继续阅读
资源评论
weixin_50556117
- 粉丝: 0
- 资源: 10万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功