第--章-防火墙和代理服务器的应用优秀文档

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第十四章 将INTRANET连入,INTERNET网络,INTERNET是一个全球互联公共网络。,INTRANET则是利用INTERNET技术所组建的内部,专用网络。,私有,公共,安全问题,连接技术,问题一：INTERNET与INTRANET应如何连接,私有与公共网络互联需要考虑安全、效率、共享等因素,1、通过路由器,路由器提供路由功能，内网需采用合法的公用地址。,如：校园网、ISP供应商网络,2、通过防火墙,防火墙起到是一个安全检查的作用，允许或拒绝通过。,进行直接的TCP连接，需要通过电路网关中继。,相当于代理服务器，工作在应用级的防火墙。,NAT是地址转换服务器，作用是将INTRANET的私有,NAT是地址转换服务器，作用是将INTRANET的私有,组合使用，以实现更加安全、可靠快速的通信环境。,1、永久性的连入INTERNET，固定连接,INTRANET则是利用INTERNET技术所组建的内部,INTERNET是一个全球互联公共网络。,问题一：INTERNET与INTRANET应如何连接,INTRANET则是利用INTERNET技术所组建的内部,IP地址，转换之后才与INTERNET进行通信。,目的就是确保受保护区域内的网络安全。,INTERNET网络,在这个子网中安装了应用服务器，用于发布公共服务。,进行直接的TCP连接，需要通过电路网关中继。,该主机上安装有防火墙软件或代理服务。,3、使用代理服务器,INTRANET和INTERNET不能直接通信，而是采用代理,的方式互联。要求INTRANET有合法的私有IP地址。,4、通过NAT服务器,NAT是地址转换服务器，作用是将INTRANET的私有,IP地址，转换之后才与INTERNET进行通信。,也被称为转换路由器,在实际应用当中，有很多情况都是将这几种连接方式,组合使用，以实现更加安全、可靠快速的通信环境。,如：路由器互联、加入防火墙和NAT地址转换。,问题二：连如INTERNET的接入方式,1、永久性的连入INTERNET，固定连接,比如：专线、ETHERNET、光缆,2、拨号连接入INTERNET,ADSL、MODEM、ISDN等,二、防火墙介绍,在安全与不安全之间形成一道屏障，对所有经过的数据,进行检测、分析、限制操作，对访问用户身份进行验证,目的就是确保受保护区域内的网络安全。,1、防火墙的功能：,过滤不安全的服务和非法用户,控制对特殊站点的访问,监视网络访问，提供安全预警,当然，对于有些情况下防火墙也是无能为力的，如：,内部攻击、病毒文件的传递等等。,根据不同的网络，不同的防范要求所形成的防范对策，,不同的连接方式和功能上对防火墙的要求也都不一样，,所以还需要了解防火墙的类型。,2、防火墙的类型，保护网络的方法各不一样,包过滤型防火墙,属于网络级，分静态和动态包过滤。,（1）静态包滤级,对每个数据包的包头与某一条包过滤规则相比对，拒绝,或丢弃。,例如：可以允许用户进行HTTP访问，拒绝FTP访问。,（2）动态包过滤,根据实际需要，为特定的应用打开所需端口，在通信,结束时可自动关闭，降低了暴露端口的数量，提供了,更高的安全性。,问题：静态包过滤和动态包过滤的区别？,动态包过滤只能控制TCP/UDP协议的应用程序，而,静态包过滤能控制所有的IP协议（TCP/UDP，ICMP）。,缺点：是基于低层的检测，不能了理解网络层以上的,高层网络协议。,目的就是确保受保护区域内的网络安全。,过滤不安全的服务和非法用户,进行直接的TCP连接，需要通过电路网关中继。,在这个子网中安装了应用服务器，用于发布公共服务。,相当于代理服务器，工作在应用级的防火墙。,内部攻击、病毒文件的传递等等。,根据实际需要，为特定的应用打开所需端口，在通信,INTRANET则是利用INTERNET技术所组建的内部,在安全与不安全之间形成一道屏障，对所有经过的数据,动态包过滤只能控制TCP/UDP协议的应用程序，而,分单宿堡垒（单网卡）、双宿堡垒主机（双网卡）,NAT是地址转换服务器，作用是将INTRANET的私有,问题：静态包过滤和动态包过滤的区别？,NAT是地址转换服务器，作用是将INTRANET的私有,问题一：INTERNET与INTRANET应如何连接,，兼容性越好，系统开销越小，如包过滤；,IP地址，转换之后才与INTERNET进行通信。,电路网关型,工作在会话层，建立了两条TCP连接，并不进行任何,附加的包处理或过滤。它也不允许内部主机与外部之间,进行直接的TCP连接，需要通过电路网关中继。,内部,外网,电,路,网,关,中继,应用网关,相当于代理服务器，工作在应用级的防火墙。,状态检测，包检测,防火墙应工作在网络层以上，层次越低，安全性越差,，兼容性越好，系统开销越小，如包过滤；反之，层,次越高，安全性越好，系统开销越大，如应用网关,3、常见的防火墙,（1）双宿主机网关（堡垒主机）,如图14.5，一台主机、两块网卡、一边连内网、一边,连入外网。,该主机上安装有防火墙软件或代理服务。,主机网关是重点,INTERNET中的外部主机只能访问到DMZ中用来发布公,相当于代理服务器，工作在应用级的防火墙。,2、防火墙的类型，保护网络的方法各不一样,在安全与不安全之间形成一道屏障，对所有经过的数据,INTERNET中的外部主机只能访问到DMZ中用来发布公,结束时可自动关闭，降低了暴露端口的数量，提供了,在路由器上设定过滤规则，使堡垒主机成为INTERNET,对每个数据包的包头与某一条包过滤规则相比对，拒绝,私有与公共网络互联需要考虑安全、效率、共享等因素,该主机上安装有防火墙软件或代理服务。,INTRANET则是利用INTERNET技术所组建的内部,静态包过滤能控制所有的IP协议（TCP/UDP，ICMP）。,5，一台主机、两块网卡、一边连内网、一边,（2）屏蔽主机网关,分单宿堡垒（单网卡）、双宿堡垒主机（双网卡）,见图14.6 ，单宿主,在路由器上设定过滤规则，使堡垒主机成为INTERNET,唯一可以访问的主机，而内部的客户机通过屏蔽主机,和路由器来访问INTERNET。,双宿主，两块网卡，他其实是提供了代理服务，将包过,滤与代理服务相结合，比单宿主更安全。,（3）屏蔽子网，非军事区DMZ,它建立了一个内网与外网想隔离的一个子网。,在这个子网中安装了应用服务器，用于发布公共服务。,内部主机通过DMZ中的代理主机来上INTERNET，而在,INTERNET中的外部主机只能访问到DMZ中用来发布公,用信息的服务器，内网是无法访问的。,