freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

計(jì)算機(jī)網(wǎng)絡(luò)安全管理課件第8章防火墻安全管理(編輯修改稿)

2025-03-05 16:22 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 間的 IP通信被完全阻止。 雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的:雙重宿主主機(jī)位于兩者之間,并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)。在雙重宿體主機(jī)體系中應(yīng)用最廣泛的是雙穴主機(jī)網(wǎng)關(guān),這種網(wǎng)關(guān)是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。 167。 屏蔽主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器提供來(lái)自?xún)H僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過(guò)濾。 在屏蔽的路由器上的數(shù)據(jù)包過(guò)濾是按這樣一種方法設(shè)置,即堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁。僅有某些確定類(lèi)型的連接被允許。任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。堡壘主機(jī)需要擁有高等級(jí)的安全。在屏蔽路由器中數(shù)據(jù)包過(guò)濾配置的可選方案如下: 允許其它的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接。 不允許來(lái)自?xún)?nèi)部主機(jī)的所有連接。 用戶可以針對(duì)不同的服務(wù)混合使用上述手段;某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過(guò)濾,而其它服務(wù)可以被允許僅僅間接地經(jīng)過(guò)代理。這完全取決于用戶實(shí)行的安全策略。 167。 屏蔽子網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與 Inter隔離開(kāi)。 堡壘主機(jī)是用戶的網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。任憑用戶盡最大的力氣去保護(hù)它,它仍是最有可能被侵襲的機(jī)器,因?yàn)樗举|(zhì)上是能夠被侵襲的機(jī)器。如果在屏蔽主機(jī)體系結(jié)構(gòu)中,用戶的內(nèi)部網(wǎng)絡(luò)對(duì)來(lái)自用戶的堡壘主機(jī)的侵襲門(mén)戶洞開(kāi),那么用戶的堡壘主機(jī)是非常誘人的攻擊目標(biāo)。在它與用戶的其它內(nèi)部機(jī)器之間沒(méi)有其它的防御手段時(shí)。如果有人成功地侵入屏蔽主機(jī)體系結(jié)構(gòu)中的堡壘主機(jī),那就毫無(wú)阻擋地進(jìn)入了內(nèi)部系統(tǒng)。 通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī),能減少在堡壘主機(jī)上侵入的影響。屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為,兩個(gè)屏蔽路由器,每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡(luò)之間,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。為了侵入用這種類(lèi)型的體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò),入侵者必須要通過(guò)兩個(gè)路由器。即使侵襲者設(shè)法侵入堡壘主機(jī),他將仍然必須通過(guò)內(nèi)部路由器。在此情況下,沒(méi)有損害內(nèi)部網(wǎng)絡(luò)的單一的易受侵襲點(diǎn)。作為入侵者,只是進(jìn)行了一次訪問(wèn)。 1. 周邊網(wǎng)絡(luò) 周邊網(wǎng)絡(luò)是另一個(gè)安全層,是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域,周邊網(wǎng)絡(luò)在那個(gè)侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個(gè)附加的保護(hù)層。 在許多網(wǎng)絡(luò)設(shè)置中,用給定網(wǎng)絡(luò)上的任何機(jī)器來(lái)查看這個(gè)網(wǎng)絡(luò)上的每一臺(tái)機(jī)器的通信是可能的;對(duì)局域網(wǎng)中所使用的技術(shù),入侵者都很熟悉,入侵者可以通過(guò)查看那些在 Tel、 FTP以及 rlogin會(huì)話期間使用過(guò)的口令成功地探測(cè)出口令、電子郵件以用監(jiān)視網(wǎng)絡(luò)等。 對(duì)于周邊網(wǎng)絡(luò),如果入侵周邊網(wǎng)上的堡壘主機(jī),入侵者只能探聽(tīng)到周邊網(wǎng)上的通信。因?yàn)樗兄苓吘W(wǎng)上的通信來(lái)自或者通往堡壘主機(jī)或 Inter。 因?yàn)闆](méi)有嚴(yán)格的內(nèi)部通信能越過(guò)周邊網(wǎng)。所以,如果堡壘主機(jī)被損害,內(nèi)部的通信仍將是安全的。總的來(lái)說(shuō),在堡壘主機(jī)或者外部的通信,仍然是可監(jiān)視的。防火墻設(shè)計(jì)工作的一部分就是確保這種通信不致于機(jī)密到閱讀它將損害你的站點(diǎn)的完整性。 2. 堡壘主機(jī) 在屏蔽的子網(wǎng)體系結(jié)構(gòu)中,用戶把堡壘主機(jī)連接到周邊網(wǎng);這臺(tái)主機(jī)便是接受來(lái)自外界連接的主要入口。 對(duì)于進(jìn)來(lái)的電子郵件( SMTP)會(huì)話,傳送電子郵件到站點(diǎn); 對(duì)于進(jìn)來(lái)的 FTP連接,轉(zhuǎn)接到站點(diǎn)的匿名 FTP服務(wù)器; 對(duì)于進(jìn)來(lái)的域名服務(wù)( DNS)站點(diǎn)查詢(xún)等等。 在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過(guò)濾來(lái)允許內(nèi)部的客戶端直接訪問(wèn)外部的服務(wù)器。 設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行(如果用戶的防火墻使用代理軟件)來(lái)允許內(nèi)部的客戶端間接地訪問(wèn)外部的服務(wù)器。用戶也可以設(shè)置數(shù)據(jù)包過(guò)濾來(lái)允許內(nèi)部的客戶端在堡壘主機(jī)上同代理服務(wù)器交談。但是禁止內(nèi)部的客戶端與外部世界之間直接通信(即撥號(hào)入網(wǎng)方式)。 3. 內(nèi)部路由器 內(nèi)部路由器(也稱(chēng)阻塞路由器)保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受 Inter和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作。它允許從內(nèi)部網(wǎng)到 Inter的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點(diǎn)能使用數(shù)據(jù)包過(guò)濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。內(nèi)部路由器所允許的在堡壘主機(jī)和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在 Inter和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來(lái)自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。 4. 外部路由器 外部路由器(又稱(chēng)訪問(wèn)路由器)保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來(lái)自Inter的侵犯。實(shí)際上,外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站,并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過(guò)濾。保護(hù)內(nèi)部機(jī)器的數(shù)據(jù)包過(guò)濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應(yīng)該是一樣的;如果在規(guī)則中有允許侵襲者訪問(wèn)的錯(cuò)誤,錯(cuò)誤就可能出現(xiàn)在兩個(gè)路由器上。 外部路由器由外部群組提供,同時(shí)用戶對(duì)它的訪問(wèn)被限制。外部群組可能愿意放入一些通用型數(shù)據(jù)包過(guò)濾規(guī)則來(lái)維護(hù)路由器,但是不愿意使維護(hù)復(fù)雜或者使用頻繁變化的規(guī)則組。外部路由器能有效地執(zhí)行的安全任任務(wù)是阻止從 Inter上偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱(chēng)來(lái)自?xún)?nèi)部的網(wǎng)絡(luò),但實(shí)際上是來(lái)自 Inter。 167。 防火墻體系結(jié)構(gòu)的組合形式 建造防火墻時(shí),一般很少采用單一的技術(shù),通常是多種解決不同問(wèn)題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù),以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi),投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。一般有以下幾種形式: 使用多堡壘主機(jī); 合并內(nèi)部路由器與外部路由器; 合并堡壘主機(jī)與外部路由器; 合并堡壘主機(jī)與內(nèi)部路由器; 使用多臺(tái)內(nèi)部路由器; 使用多臺(tái)外部路由器; 使用多個(gè)周邊網(wǎng)絡(luò); 使用雙重宿主主機(jī)與屏蔽子網(wǎng)。 167。 防火墻的選擇 在規(guī)劃網(wǎng)絡(luò)時(shí),就必須考慮
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1