计算机网络安全课件(沈鑫剡)第7章.pptxVIP

?2006工程兵工程学院计算机教研室计算机网络安全第七章

防火墙第7章防火墙计算机网络安全防火墙概述；分组过滤器；堡垒主机；统一访问控制。防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备，尤其适用于内部网络和外部网络之间的连接处。

防火墙防火墙概述计算机网络安全防火墙功能服务控制不同网络间只允许传输与特定服务相关的信息流。方向控制不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。用户控制不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。行为控制不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。

防火墙防火墙概述防火墙分类如果不与操作系统的安全访问机制相结合，个人防火墙的功能相对简单；有状态检查防火墙的功能已经涵盖电路层网关和应用层网关的功能，但对终端用户是透明的。计算机网络安全

防火墙防火墙概述电路层网关工作机制电路层网关对运输层连接进行监测和控制，包括连接发起者的身份认证、经过连接传输的TCP报文的合理性等；应用层网关对特定应用相关的消息交换过程实施监测控制和，包括请求、响应过程，请求、响应报文中各字段的正确性，传输内容的合理性和合法性等。先认证用户身份，确定是授权用户发起的TCP连接时，再与服务器建立TCP连接。计算机网络安全

防火墙7.2分组过滤器计算机网络安全无状态分组过滤器；有状态分组过滤器。分组过滤器根据规则鉴别出一组多个字段值等于设定值的IP分组，并对其进行规定操作。这些字段值可以是IP分组首部字段值，可以是运输层首部字段值（电路层网关功能），也可以是应用层消息的各个字段值（应用层网关的功能）。有状态和无状态的区别在于无状态逐个IP分组单独处理，有状态是基于会话，对属于相同会话的一组IP分组进行联合处理，会话可以是TCP连接，也可以是应用层请求、响应过程。因此，有状态分组过滤器的功能涵盖了电路层和应用层网关的大部分功能，但分组过滤器对终端用户是透明的。

防火墙源IP地址＝/24一、分组过滤目的IP地址＝/24目的IP地址＝/24源IP地址＝/24目的IP地址＝/24计算机网络安全源IP地址＝/24

防火墙一、分组过滤IP分组的源地址属于LAN1子网源地I址P地，不址目允=的1许9地3和.址1L.A是A是1NL.L.1A0A0中N/N2终2终4服4服端.通an过d.计算机网络安全务目器的，I端PT地E口E口L址号NE=必T1访9须3问.确1L.定A2N.是.是25中/3服2务.a器nd.操作有关的信息源经I过P地路址由= .and. 目的IP地TE目LN的N的E端T应口用号。=23，对和址规=则1匹93配.1的.2.0/24 .and. 源端口号=80，IP分组器采R取1。的动作是：对拒和绝规传则输匹。配的IP分组采取的动作是：允许传输。要求LAN1中终端不能通过TELNET访问LAN2中服务器。只允许LAN2中终端访问LAN1中的WEB服务器。

防火墙防火墙－动态分组过滤只允许终端A用Telnet访问终端B，不允许终端B访问终端A。终端A终端B源IP地址＝ .and.目的IP地址＝ .and. 源端口号＝23只允许终端B向终端A回信，通过寄信人和收信人地址、姓名能区分这两种类型的信吗？对终端A写给终端B的信和终端B写给终计算机网络安全端A的信的内容进行不允许终端B主动向终端A写信。检查，确定是回信，则通过，不是，则过滤。

防火墙防火墙－动态分组检测动态分组检测的第一步是将网络划分成三个区，然后对区间进行的访问过程全程监控。所谓全程监控是根据访问策略确定信息流顺序，然后对每一次信息流传输操作进行监控，看其是否符合策略规定的顺序和动作。计算机网络安全

防火墙防火墙－动态分组检测访问策略·１．从信任区到非军事区 源IP地址=/24 目的IP地址=/32 HTTP服务；２．从信任区到非军事区 源IP地址=/24 目的IP地址= SMTP+POP3服务；３．从信任区到非信任区 源IP地址=/24 目的IP地址=HTTP+FTP GET服务；４．从非军事区到非信任区 源IP地址=/32 目的IP地址==/32=/32SMTP服务访；问策略和分组过滤不同，不是定计算机网络安全５．从非信任区到非义军了事允区许源或I不P允地许址传=0输.0的.0I.P0分组目，的IP地址HT而TP是G定ET义服了务整；个服务过程。如第一６．从非信任区到非项军策事略区表源示I允P许地进址行=0由.0信.0任.0区中目终的IP地址SM端TP发服起务的。，对非军事区中的WEB服务器的访问。它允许符合这个访问过程的IP分组在信任区和非军事区之间传输。

防火墙防火墙－动态分组检测策略１对应的信息交换过程，由于是允许信任区中终端发起对非信任区中WEB服务器的访问，因此，