- 1、本文档共31页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
PAGE
PAGE10
第十章 防火墙及配置
.1 防火墙介绍
防火墙的概念
简单的说,防火墙的作用是在保护一个网络免受“不信任”网络的攻击的同时,保证两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:
经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。
现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口。因此防火墙不但可以保护内部网络在Internet中的安全,同时还可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行互相的访问。
.2 网络安全技术
.2.1 网络安全技术介绍
网络安全介绍
Quidway系列路由器提供一个全面的网络安全解决方案,包括用户验证、授权、数据保护等。
Quidway系列路由器所采用的安全技术主要包括:包过滤技术-针对IP地址的一种访问控制AAA验证-对用户进行验证、授权、计费的技术地址转换-屏蔽内部网络地址的一种技术VPN技术-提供一种安全“私有连接”的技术智能防火墙-可以针对内容等进行访问控制的技术加密和密钥管理技术
在路由器中,包过滤技术是实现防火墙的最重要的手段。
.2.2 IP包过滤技术介绍
IP包过滤介绍
对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。
OK
WAN
规则数据库
包过滤技术主要是设定一定的规则,控制数据包。路由器会根据设定的规则和数据包的包头信息比较,来决定是否允许这个数据包通过。实现包过滤技术最核心内容就是访问控制列表。
“网络工程师培训”
“网络工程师培训”基础教程
第十章防火墙配置
.2.3 访问控制列表
为什么要用访问控制列表?
拒绝某些不希望的访问。访问控制列表具有区分数据包的能力。
内部网络
Internet
公司总部DMZ
办事处
内部服务器
202.10.10.0的用户
用户可以通过Internet和外部网络进行联系,网络管理员都面临着一个问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行的访问。为了达到这样的效果,我们需要有一定的规则来定义哪些数据包是“合法”的(或者是可以允许访问),哪些是“非法”的(或者是禁止访问)。这些规则就是访问控制列表。
访问控制列表(续)
为什么要用访问控制列表?(续)
访问控制列表按照数据包的特点,规定了一些规则。这些规则描述了具有一定特点的数据包,并且规定它们是被“允许”的还是“禁止”的。这些规则的定义是按照数据包包头的特点定义的,例如可以这样定义:
允许202.38.0.0/16网段的主机可以使用协议
HTTP访问129.10.10.1。
禁止从202.110.0.0/16网段的所有访问。
访问控制列表就可以提供这样的功能,它按照数据包的特点,规定了一些规则。
这些规则描述了具有一定特点的数据包,(例如所有源地址是地址段的数据包、所有使用Telnet访问的数据包等等)并且规定它们是被“允许”的还是“禁止”的。这样可以将访问控制列表规则应用到路由器的接口,阻止一些非法的访问,同时并不影响合法用户的访问。访问控制列表提供了一种区分数据包种类的手段,它把各种数据包按照各自的特点区分成各种不同的种类,达到控制用户访问的目的。
.2.4 地址列表的其他用途
地址列表的另一个用途
控制什么样的数据包可以触发拨号控制“这些数据包”做“这些事”
确定什么样的数据包可以触发拨号
PSTN
办事处
由于访问控制列表具有区分数据包的功能,因此,访问控制列表可以控制“什么样的数据包”,可以做什么样的事情。例如,当企业内部网通过拨号方式访问Internet,如果不希望所有的用户都可以拨号上网,就可以利用控制列表决定哪些主机可以触发拨号,以达到访问Internet的目的。利用访问控制列表可以控制数据包的触发拨号,同样在IPSec、地址转换等应用中,可以利用控制列表描述什么样的数据包可以加密,什么样的数据包可以地址转换等。
.2.5 访问控制列表原理
访问控制列表是什么?
一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):
IP报头 TCP报头 数据
协议号源地址目
您可能关注的文档
最近下载
- 2024年外研版小学六年级上册英语教学计划及进度表(三年级起点).docx
- 0130-3D打印技术应用专业国家技能人才培养工学一体化课程标准(试用) (1) 教案教学大纲教学标准.docx
- 资产运行效率分析报告模版3篇资产运行效率分析范本.docx VIP
- (化工原理下册课件)干燥速率曲线及干燥过程分析.ppt
- 北京城镇园林绿化养护预算定额.PDF
- 《建筑物防雷设计规范》GB50057-2022 .pdf
- 车间内禁止吸烟的通告(通用10篇).docx VIP
- 北京大华 DH1718E系列直流稳压电源用户手册.pdf
- 2024统编新版初中七年级语文上册第五单元 大单元整体教设计.docx
- 北京课改版-小学数学一年级上册课件-3.2 几和第几.pptx
文档评论(0)