第十八章：防火墙设置VIP免费

第三部分：网络与安全管理第十八章：防火墙设置第三部分：网络与安全管理第十八章：防火墙设置本章目标了解Linux防火墙，并掌握Linux防火墙配置工具iptables的一般应用。防火墙分类（一）•软件防火墙（个人防火墙）：如：天网、各杀毒软件厂商的个人防火墙软件等•硬件防火墙（PC架构，依赖于小型化的OS系统）：如：首创前锋红旗防火墙等•芯片级防火墙（基于ASIC芯片）：如：NetScreen、CiscoPIX、CiscoASA等•软件防火墙（个人防火墙）：如：天网、各杀毒软件厂商的个人防火墙软件等•硬件防火墙（PC架构，依赖于小型化的OS系统）：如：首创前锋红旗防火墙等•芯片级防火墙（基于ASIC芯片）：如：NetScreen、CiscoPIX、CiscoASA等•包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。•应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。•状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。•复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。•包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。•应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。•状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。•复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。防火墙分类（二）防火墙术语（一）•网关：防火墙可以起到网关的作用。•DMZ（DemilitarizedZone）：内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别连接内部网，internet和DMZ。•吞吐量：防火墙对数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。•最大连接数：和吞吐量一样，数字越大越好。最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。•网关：防火墙可以起到网关的作用。•DMZ（DemilitarizedZone）：内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别连接内部网，internet和DMZ。•吞吐量：防火墙对数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。•最大连接数：和吞吐量一样，数字越大越好。最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。防火墙术语（二）•数据包转发率：防火墙对数据流量的处理速度。•SSL：SecureSocketsLayer是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。•网络地址转换：网络地址转换（NAT）是一种将一个IP地址域映射到另一个IP地址域技术，可为主机提供透明路由。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。•堡垒主机：一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。•数据包转发率：防火墙对数据流量的处理速度。•SSL：SecureSocketsLayer是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。•网络地址转换：网络地址转换（NAT）是...