第三部分:网络与安全管理第十八章:防火墙设置第三部分:网络与安全管理第十八章:防火墙设置本章目标了解Linux防火墙,并掌握Linux防火墙配置工具iptables的一般应用。防火墙分类(一)•软件防火墙(个人防火墙):如:天网、各杀毒软件厂商的个人防火墙软件等•硬件防火墙(PC架构,依赖于小型化的OS系统):如:首创前锋红旗防火墙等•芯片级防火墙(基于ASIC芯片):如:NetScreen、CiscoPIX、CiscoASA等•软件防火墙(个人防火墙):如:天网、各杀毒软件厂商的个人防火墙软件等•硬件防火墙(PC架构,依赖于小型化的OS系统):如:首创前锋红旗防火墙等•芯片级防火墙(基于ASIC芯片):如:NetScreen、CiscoPIX、CiscoASA等•包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。•应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。•状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。•复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。•包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。•应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。•状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。•复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。防火墙分类(二)防火墙术语(一)•网关:防火墙可以起到网关的作用。•DMZ(DemilitarizedZone):内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别连接内部网,internet和DMZ。•吞吐量:防火墙对数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。•最大连接数:和吞吐量一样,数字越大越好。最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。•网关:防火墙可以起到网关的作用。•DMZ(DemilitarizedZone):内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别连接内部网,internet和DMZ。•吞吐量:防火墙对数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。•最大连接数:和吞吐量一样,数字越大越好。最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。防火墙术语(二)•数据包转发率:防火墙对数据流量的处理速度。•SSL:SecureSocketsLayer是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。•网络地址转换:网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP地址域技术,可为主机提供透明路由。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。•堡垒主机:一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。•数据包转发率:防火墙对数据流量的处理速度。•SSL:SecureSocketsLayer是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。•网络地址转换:网络地址转换(NAT)是...
