freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)絡(luò)安全第二章ppt課件(編輯修改稿)

2025-02-04 22:05 本頁面
 

【文章內(nèi)容簡介】 止自然或人為的故意破壞;不能防止本身安全漏洞的威脅。 防火墻的局限性 防火墻的體系結(jié)構(gòu) 1 雙宿主機 2 屏蔽主機 3 屏蔽子網(wǎng) 4 分組過濾路由器 防火墻的體系結(jié)構(gòu) ? 防火墻的體系結(jié)構(gòu):防火墻系統(tǒng)實現(xiàn)所采用的架構(gòu)及其實現(xiàn)所采用的方法,它決定著防火墻的功能、性能以及使用范圍。 ? 防火墻可以被設(shè)置成許多不同的結(jié)構(gòu),并提供不同級別的安全,而維護運行的費用也各不相同。 分組過濾路由器 內(nèi) 部 網(wǎng) 絡(luò)I n t e r n t由 策 略 來 決 定 轉(zhuǎn) 發(fā)或 阻 止 數(shù) 據(jù) 包分 組 過 濾路 由 器分組過濾路由器 ? 作為內(nèi)外網(wǎng)連接的唯一通道,要求所有的報文都必須在此通過檢查。 ? 通過在分組過濾路由器上安裝基于 IP層的報文過濾軟件,就可利用過濾規(guī)則實現(xiàn)報文過濾功能。 缺點: ? 在單機上實現(xiàn),是網(wǎng)絡(luò)中的 “ 單失效點 ” 。 ? 不支持有效的用戶認證、不提供有用的日志,安全性低。 雙宿主機 內(nèi) 部 網(wǎng) 絡(luò)I n t e r n t雙 宿 主 機防 火 墻雙宿主機 ? 在被保護網(wǎng)絡(luò)和 Inter之間設(shè)置一個具有雙網(wǎng)卡的堡壘主機, IP層的通信完全被阻止,兩個網(wǎng)絡(luò)之間的通信可以通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成 ? 通常采用代理服務(wù)的方法 ? 堡壘主機上運行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序和提供服務(wù)等 優(yōu)缺點: ? 堡壘主機的系統(tǒng)軟件可用于身份認證和維護系統(tǒng)日志,有利于進行安全審計 ? 該方式的防火墻仍是網(wǎng)絡(luò)的 “ 單失效點 ” 。 ? 隔離了一切內(nèi)部網(wǎng)與 Inter的直接連接,不適合于一些高靈活性要求的場合 屏蔽主機 內(nèi) 部 網(wǎng) 絡(luò)I n t e r n t分 組 過 濾路 由 器堡 壘 主 機防 火 墻屏蔽主機 ? 一個分組過濾路由器連接外部網(wǎng)絡(luò),同時一個運行網(wǎng)關(guān)軟件的堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)。通常在路由器上設(shè)立過濾規(guī)則,使這個堡壘主機成為從外部唯一可直接到達的主機。 ? 提供的安全等級較高,因為它實現(xiàn)了網(wǎng)絡(luò)層安全(包過濾)和應(yīng)用層安全(代理服務(wù))。 ? 過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵。過濾路由器的路由表應(yīng)當受到嚴格的保護,如果路由表遭到破壞,則堡壘主機就有被越過的危險。 屏蔽子網(wǎng) 內(nèi) 部 網(wǎng) 絡(luò)I n t e r n t堡 壘 主 機外 部 路 由 器周 邊 網(wǎng) 絡(luò)內(nèi) 部 路 由 器屏蔽子網(wǎng) ? 是最安全的防火墻系統(tǒng),它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)(非軍事區(qū), DMZ( Demilitarized Zone)) ? 在很多實現(xiàn)中,兩個分組過濾路由器放在子網(wǎng)的兩端,內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng),但禁止它們穿過被屏蔽子網(wǎng)通信 ? 通常將堡壘主機、各種信息服務(wù)器等公用服務(wù)器放于 DMZ中 ? 堡壘主機通常是黑客集中攻擊的目標,如果沒有 DMZ,入侵者控制堡壘主機后就可以監(jiān)聽整個內(nèi)部網(wǎng)絡(luò)的會話 防火墻的實現(xiàn)技術(shù) 1 代理服務(wù)( Proxy Service) 2 狀態(tài)檢測( Stateful Inspection) 3 網(wǎng)絡(luò)地址轉(zhuǎn)換( Network Address Translation ) 4 數(shù)據(jù)包過濾( Packet Filtering) 數(shù)據(jù)包過濾( 1/6) 應(yīng)用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 物理層 路由器 應(yīng)用層 表示層 會話層 傳輸層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 ? 數(shù)據(jù)包過濾技術(shù)是一種簡單、高效的安全控制技術(shù),是防火墻發(fā)展初期普遍采用的技術(shù)。 工作原理: ? 系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,與應(yīng)用層無關(guān)。 ? 依據(jù)在系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則(通常稱為訪問控制表 ——Access Control List)對數(shù)據(jù)流中每個數(shù)據(jù)包 包頭 中的參數(shù)或它們的組合進行檢查,以確定是否允許該數(shù)據(jù)包進出內(nèi)部網(wǎng)絡(luò)。 數(shù)據(jù)包過濾( 2/6) 包過濾一般要檢查(網(wǎng)絡(luò)層的 IP頭和傳輸層的頭): ? IP源地址 ? IP目的地址 ? 協(xié)議類型( TCP包 /UDP包 /ICMP包) ? TCP或 UDP的源端口 ? TCP或 UDP的目的端口 ? ICMP消息類型 ? TCP報頭中的 ACK位 數(shù)據(jù)包過濾( 3/6) ? 舉例: 某條過濾規(guī)則為:禁止地址 1的任意端口到地址 2的80端口的 TCP包。 含義? 表示禁止地址 1的計算機連接地址 2的計算機的 WWW服務(wù)。 規(guī)則集實例 (P278) 數(shù)據(jù)包過濾( 4/6) 優(yōu)點: 邏輯簡單,價格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好。 主要缺點: ① 安全控制的力度只限于源地址、目的地址和端口號等,不能保存與傳輸或
點擊復(fù)制文檔內(nèi)容
試題試卷相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1