freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

防火墻安全技術(shù)ppt-展示頁

2025-01-13 00:53本頁面
  

【正文】 OSI/RM網(wǎng)關(guān)級(jí)中繼器級(jí)電路級(jí)路由器級(jí)網(wǎng)橋級(jí)防火墻防 火 墻 系 統(tǒng) 非 安 全 區(qū) 域內(nèi)部網(wǎng) 外部網(wǎng)安 全 區(qū) 域 防火墻是一種非常有效的網(wǎng)絡(luò)安全模型 , 通過它可以隔離內(nèi)外網(wǎng)絡(luò) ,以達(dá)到網(wǎng)絡(luò)中安全區(qū)域的連接 , 同時(shí)不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問 。 防火墻的目的在于實(shí)現(xiàn)安全訪問控制,在 OSI體系結(jié)構(gòu)中,防火墻可以在 OSI七層中的五層設(shè)置。防火墻兩種最普通的活動(dòng)是中斷 TCP/IP連接和自動(dòng)發(fā)出警告??梢源_切地知道黑客在做什么并得到這些活動(dòng)信息代審計(jì)。因?yàn)槟阋诜阑饓ι蟿?chuàng)建一個(gè)阻塞點(diǎn),潛在的黑客必須要先穿過它。 (2)日志和警報(bào) 為了不降低網(wǎng)絡(luò)性能和效率,在默認(rèn)配置下,包過濾及篩選路由器是不進(jìn)行日志記錄的,更為重要的是,防火墻并不能對(duì)所有事件創(chuàng)建日志。 結(jié)合使用這些用戶賬號(hào)數(shù)據(jù)庫和代理服務(wù)器自定義的選項(xiàng)來進(jìn)行認(rèn)證 。 應(yīng)用級(jí)網(wǎng)關(guān)或代理服務(wù)器可以工作在 TCP/IP的每一層上 。 這種技術(shù)有效地反擊 IP欺騙的攻擊 。 你可以要求一個(gè)防火墻令牌 ( firewall token) , 或反向查詢一個(gè) IP地址 。 當(dāng)你實(shí)施一個(gè)防火墻策略時(shí) , 這三種防火墻類型可能都需要 。 它們檢查單獨(dú)的數(shù)據(jù)包或整個(gè)信息包 , 然后利用事先訂制的規(guī)則來強(qiáng)制安全策略 。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。它允許從內(nèi)部網(wǎng)絡(luò)到 Inter的有選擇的出站服務(wù)。 (20)阻塞路由器 阻塞路由器也叫內(nèi)部路由器,用以保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受 Inter和周邊網(wǎng)的侵犯。 信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的 。 這種實(shí)施的缺點(diǎn)在于存在于 DMZ區(qū)域的任何服務(wù)都不會(huì)得到防火墻的安全保護(hù) 。 DMZ用來作為一個(gè)額外的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò) 。 (18)非軍事化區(qū)域 (DMZ) DMZ是一個(gè)小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間 。使用這些網(wǎng)絡(luò)地址的一個(gè)好處就是在互聯(lián)網(wǎng)上永遠(yuǎn)不會(huì)被路由。 對(duì)于NAT的另一個(gè)名字是 IP地址隱藏 。這一功能可以克服 IP尋址方式的諸多限制 , 完善內(nèi)部尋址模式 。內(nèi)部人員濫用特權(quán)很可能在防火墻上打開一個(gè)安全缺口,這是很危險(xiǎn)的,很多的入侵是由此引發(fā)的。 (15)縱深防御 ( Defense In Depth) 一種確保網(wǎng)絡(luò)盡可能安全的安全措施 , 一般與防火墻聯(lián)合使用 。 一旦發(fā)現(xiàn)各種錯(cuò)誤類型就將其返回原主機(jī) , 最常見的 ping命令就是基于 ICMP的 。 DNS欺騙現(xiàn)在也是黑客攻擊服務(wù)器的常用手段 。 (12)虛擬專用網(wǎng)( Virtual Private Network, VPN) 一種聯(lián)接兩個(gè)遠(yuǎn)程局域網(wǎng)的方式,聯(lián)接要通過非信任網(wǎng),如 Inter,所以一般通過隧道路由器或 VPN網(wǎng)關(guān)來實(shí)現(xiàn)互聯(lián)。 防火墻可以識(shí)別這種 IP地址欺騙 。 典型的代理接受用戶的請(qǐng)求 , 然后根據(jù)事先定義好的規(guī)則 , 決定用戶或用戶的 IP地址是否有權(quán)使用代理服務(wù)器 ,然后代表客戶建立一個(gè)與服務(wù)器之間的連接 。 屏蔽子網(wǎng)指位于屏蔽路由器后面的子網(wǎng) , 子網(wǎng)能被訪問的程度取決于屏蔽規(guī)則 。 (7)屏蔽路由器 ( Screened Router) 屏蔽路由器也叫過濾路由器,是一種可以根據(jù)過濾原則對(duì)數(shù)據(jù)包進(jìn)行阻塞和轉(zhuǎn)發(fā)的路由器,現(xiàn)在有很多路由器都具備包過濾的功能。 (6)數(shù)據(jù)包過濾 ( Package Filter Ring) 一些設(shè)備 , 如路由器 、 網(wǎng)關(guān)或雙宿主機(jī) , 可以有選擇地控制網(wǎng)絡(luò)上往來的數(shù)據(jù)流 。 (5)雙宿主機(jī) ( Dual Homed Host) 現(xiàn)代的防火墻系統(tǒng)大多是雙宿主機(jī) , 即有兩個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng) , 其中一個(gè)接口連接內(nèi)部網(wǎng) , 另一個(gè)接口連接外部網(wǎng) 。 堡壘主機(jī)的設(shè)計(jì)思想就是檢查點(diǎn)原則 , 把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決 , 從而省時(shí)省力 , 不用考慮其他主機(jī)的安全 。 (4)堡壘主機(jī) ( Bastion Host) 堡壘主機(jī)應(yīng)是在 Inter高度暴露的 , 也是網(wǎng)絡(luò)中最容易受到侵入的主機(jī) 。 (3)應(yīng)用級(jí)網(wǎng)關(guān) (Application Level Gateway) 應(yīng)用級(jí)網(wǎng)關(guān)可以工作在 OSI七層模型的任一層上,能夠檢查進(jìn)出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。 另外 , 電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能:網(wǎng)絡(luò)地址翻譯 (NAT)將所有公司內(nèi)部的 IP地址映射到一個(gè) “ 安全 ” 的 IP地址 , 這個(gè)地址是由防火墻使用的 。 這個(gè)術(shù)語是非常常見的 , 而且可用于一個(gè)防火墻組件里 , 在兩個(gè)不同的網(wǎng)絡(luò)路由和處理數(shù)據(jù) 。 3. 基本術(shù)語 (1)網(wǎng)關(guān) (Gateway) 網(wǎng)關(guān)是在兩臺(tái)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng) 。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。當(dāng)遠(yuǎn)程結(jié)點(diǎn)試圖偵測(cè)你的網(wǎng)絡(luò)時(shí),他們僅僅能看到防火墻。 (4)限制網(wǎng)絡(luò)暴露 防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。 一個(gè)好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一 。 (3)記錄 Inter活動(dòng) 防火墻還能夠強(qiáng)制日志記錄 , 并且提供警報(bào)功能 。 如果沒有這樣一個(gè)供監(jiān)視和控制信息的檢查點(diǎn) , 系統(tǒng)或安全管理員則要在很多地方來進(jìn)行監(jiān)測(cè) 。 網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為 “ 阻塞點(diǎn) ” 。 這種實(shí)現(xiàn)要求所有的流量都要通過這個(gè)檢查點(diǎn) 。 關(guān)鍵的問題是如何通過防火墻來實(shí)施這些策略 。 (1)實(shí)現(xiàn)一個(gè)公司的安全策略 防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略 。 防火墻實(shí)質(zhì)上就是一種過濾塞,只讓經(jīng)你允許的內(nèi)容通過這個(gè)塞子,別的內(nèi)容都統(tǒng)統(tǒng)過濾掉。 防火墻的最主要功能就是屏蔽或允許指定的數(shù)據(jù)通信 , 而該功能的實(shí)現(xiàn)又主要是依靠一套訪問控制策略 , 由訪問控制策略來決定通信的合法性 。這種中介系統(tǒng)叫做 “ 防火墻 ”或 “ 防火墻系統(tǒng) ” 。現(xiàn)在,如果一個(gè)網(wǎng)絡(luò)連接了 Inter,它的用戶就可以訪問外部世界并與之通信,同時(shí),外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。 概述 防火墻的類型 防火墻的設(shè)計(jì)與實(shí)現(xiàn) 第 8章 防火墻技術(shù) 應(yīng)用實(shí)例 防火墻的安全管理技術(shù) 防火墻概述 本節(jié)內(nèi)容 防火墻的基本概念 防火墻的目的和作用 防火墻的發(fā)展 防火墻的基本概念 古時(shí)候,人們常在寓所之間砌起一道磚墻,一旦火災(zāi)發(fā)生,它能夠防止火勢(shì)蔓延到別的寓所。自然,這種墻因此而得名 “ 防火墻 ( FireWall) ” 。為安全起見,可以在該網(wǎng)絡(luò)和 Inter之間插入一個(gè)中介系統(tǒng),豎起一道安全屏障,這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵,提供扼守本地網(wǎng)絡(luò)的安全和審計(jì)的關(guān)卡。 防火墻是在兩個(gè)網(wǎng)絡(luò)間實(shí)現(xiàn)訪問控制的一個(gè)或一組軟硬件系統(tǒng) 。 防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制手段 , 它能允許 “ 經(jīng)同意 ” 的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò) , 同時(shí)將 “ 未經(jīng)不同意 ” 的人和數(shù)據(jù)拒之門外 , 最大限度地阻止網(wǎng)絡(luò)中的非法用戶來訪問你的網(wǎng)絡(luò) , 防止他們更改 、 復(fù)制和毀壞你的重要信息 。在網(wǎng)絡(luò)的世界里,要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。 通過前面幾章的學(xué)習(xí)我們認(rèn)識(shí)到了網(wǎng)絡(luò)安全中安全策略的重要性 。 (2)創(chuàng)建一個(gè)阻塞點(diǎn) 防火墻在一個(gè)公司私有網(wǎng)絡(luò)和子網(wǎng)間建立一個(gè)檢查點(diǎn) 。 一旦這些檢查點(diǎn)建立后 , 防火墻就可以監(jiān)視 、 過濾和檢查所有進(jìn)來和出去的流量 。 通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn) , 網(wǎng)絡(luò)管理員可以集中在一個(gè)地方來實(shí)現(xiàn)安全目的 。 檢查點(diǎn)的另一個(gè)名字叫做 “ 網(wǎng)絡(luò)邊界 ” 。 通過在防火墻上實(shí)現(xiàn)日志服務(wù) , 安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問 。 防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息 。并且對(duì)于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。遠(yuǎn)程設(shè)備將不會(huì)知道你內(nèi)部網(wǎng)絡(luò)的布局以及存放的信息。通過對(duì)所有流量的檢查,限制從外部發(fā)動(dòng)的攻擊。 網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口 ( CGI) 到在兩臺(tái)主機(jī)間處理流量的防火墻網(wǎng)關(guān) 。 (2)電路級(jí)網(wǎng)關(guān) ( Circuit Level Gateway) 電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息 , 這樣來決定該會(huì)話是否合法 , 電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話層上來過濾數(shù)據(jù)包 。 有兩種方法來實(shí)現(xiàn)這種類型的網(wǎng)關(guān) , 一種是由一臺(tái)主機(jī)充當(dāng)篩選路由器而另一臺(tái)充當(dāng)應(yīng)用級(jí)防火墻;另一種是在第一個(gè)防火墻主機(jī)和第二個(gè)防火墻主機(jī)之間建立安全的連接 。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做一些復(fù)雜的訪問控制。 堡壘主機(jī)也就是防火墻體系中的大無畏者 , 其目的是把敵人的火力吸引到自己身上 , 從而達(dá)到保護(hù)其他主機(jī)的目的 。 通常情況下 , 堡壘主機(jī)上運(yùn)行一些通用的網(wǎng)絡(luò)操作系統(tǒng) 、 并存放一些不重要或已過期的機(jī)密文件 。 有的防火墻是多宿主機(jī) , 有三個(gè)或多個(gè)網(wǎng)絡(luò)接口 ,可以聯(lián)接多個(gè)網(wǎng)絡(luò) , 實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)之間的訪問控制 。 當(dāng)數(shù)據(jù)包要經(jīng)過這些設(shè)備時(shí) , 這些設(shè)備可以檢查 IP數(shù)據(jù)包的相應(yīng)選項(xiàng) , 根據(jù)既定的規(guī)則來決定是否允許數(shù)據(jù)包通過 。 (8)屏蔽主機(jī) ( Screened Host) 被放置到屏蔽路由器后面網(wǎng)絡(luò)上的主機(jī)稱為屏蔽主機(jī) , 該主機(jī)能被訪問的程度取決于路由器的屏蔽規(guī)則 。 (9)代理服務(wù)器 ( Proxy Server) 代理服務(wù)器就像中間人 , 是一種代表客戶和服務(wù)器通信的程序 , 一般在應(yīng)用層實(shí)現(xiàn) 。 (10)IP地址欺騙 ( IP Spoofing) 這是一種黑客的攻擊形式 , 黑客使用一臺(tái)機(jī)器上網(wǎng) , 而借用另一臺(tái)機(jī)器的 IP地址 , 從而冒充另一臺(tái)機(jī)器與服務(wù)器打交道 。 (11)隧道路由器 ( Tunneling Router) 它是一種特殊的路由器 , 可以對(duì)數(shù)據(jù)包進(jìn)行加密 , 讓數(shù)據(jù)能通過非信任網(wǎng) , 如 Inter, 然后在另一端用同樣的路由器進(jìn)行解密 。 (13)DNS欺騙 ( DNS Spoofing) 通過破壞被攻擊主機(jī)上的域名服務(wù)器的緩存 , 或破壞一個(gè)域名服務(wù)器來偽造IP地址和主機(jī)名的映射 , 從而冒充其他機(jī)器 。 (14)Inter控制報(bào)文協(xié)議 ( ICMP) ICMP的全稱是 Inter Control Message Protocol( 網(wǎng)間報(bào)文控制協(xié)議 ) ,它是 IP不可分割的一部分 , 用來提供錯(cuò)誤報(bào)告 。 ICMP的統(tǒng)計(jì)信息包含收發(fā)的各種類型的 ICMP報(bào)文的計(jì)數(shù)以及收發(fā)錯(cuò)誤報(bào)文的計(jì)數(shù) 。 (16)最小特權(quán) ( Least Privilege) 在運(yùn)行和維護(hù)系統(tǒng)中,盡可能地減少用戶的特權(quán),但同時(shí)也要使用戶有足夠的權(quán)限來做事,這樣就會(huì)減少特權(quán)被濫用的機(jī)會(huì)。 (17)網(wǎng)絡(luò)地址翻譯 ( NAT) 網(wǎng)絡(luò)地址解釋是對(duì) Inter隱藏內(nèi)部地址 , 防止內(nèi)部地址公開 。 把未注冊(cè) IP地址映射成合法地址 , 就可以對(duì) Inter進(jìn)行訪問 。 RFC1918概述了地址并且 IANA建議使用內(nèi)部地址機(jī)制 , 以下地址作為保留地址: ( A類保留地址 ) ( B類保留地址 ) ( C類保留地址 ) 如果你選擇上述例表中的網(wǎng)絡(luò)地址,不需要向任何互聯(lián)網(wǎng)授權(quán)機(jī)構(gòu)注冊(cè)即可使用?;ヂ?lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標(biāo)地址含有這些私有網(wǎng)絡(luò) ID時(shí)都會(huì)自動(dòng)丟棄。 這個(gè)網(wǎng)絡(luò)由篩選路由器建立 , 有時(shí)是一個(gè)阻塞路由器 。 DMZ另一個(gè)名字叫做 Service Network, 因?yàn)樗浅7奖?。 (19)篩選路由器 ( Sieve Router) 篩選路由器的另一個(gè)術(shù)語就是包過濾路由器并且至少有一個(gè)接口是連向公網(wǎng)的 , 它是對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析 , 并按照一定的安全策略 —— 信息過濾規(guī)則對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制 , 允許授權(quán)信息通過 , 拒絕非授權(quán)信息 。 采用這種技術(shù)的防火墻優(yōu)點(diǎn)在于速度快 、 實(shí)現(xiàn)方便 , 但安全性能差 , 且由于不同操作系統(tǒng)環(huán)境下 TCP和 UDP端口號(hào)所代表的應(yīng)用服務(wù)協(xié)議類型有所不同 ,故兼容性差 。阻塞路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。內(nèi)部路由器所允許的在堡壘主機(jī)和用戶內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在 Inter和用戶內(nèi)部網(wǎng)之間的服務(wù)。 大多數(shù)防火墻系統(tǒng)具有包過濾 、 電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的功能 。 只有那些可接受的數(shù)據(jù)包才能進(jìn)出整個(gè)網(wǎng)絡(luò) 。 (1)認(rèn)證 防火墻是一個(gè)合理的放置提供認(rèn)證方法來避開特定的 IP包 。 反向查詢可以檢查用戶是否真正地來自它所報(bào)告的源位置 。 防火墻還允許終端用戶認(rèn)證 。 多數(shù)的代理服務(wù)器提供完整的用戶賬號(hào)數(shù)據(jù)庫 。 代理服務(wù)器還可以利用這些賬號(hào)數(shù)據(jù)庫來提供更詳細(xì)的日志 。篩選路由器只能記錄一些最基本
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1