信息安全概論總結-5

第五章-防火牆技術

2017年11月28日 星期二
10:09

防火牆：指一種確保信息安全的設施，會按照特定的規則，允許或者禁止傳輸的數據通過

a. 特點：
    i. 內，外部之間的流量必須經過防火牆
    ii. 只有符合安全策略的流量才能通過
    iii. 自身具有很強的抗攻擊免疫能力
b. 功能：
    i. 控制在計算機網絡中不同信任域之間傳送的數據流
c. 缺陷：
    i. 傳統的防火牆不能防範來着內部的攻擊
    ii. 不能防範系統漏洞的攻擊
    iii. 不能防範不通過防火牆的攻擊
    iv. 不能防範惡意代碼的攻擊
    v. 不能防範未知的網絡問題
    vi. 不能防範網絡協議漏洞的攻擊
d. 性能指標
    i.  傳輸層性能指標
        1) TCP併發連接數
        2) 最大TCP連接建立速度
    ii. 網絡層性能指標
        1) 吞吐量
        2) 時延
        3) 丟包率
    iii. 應用層性能指標
        1) HTTP傳輸速率等
e. 功能指標
    i. 網絡平臺支持
    ii. lan支持
    iii. 協議支持
    iv. 加密支持
    v. VPN支持
    vi. 認證支持
    vii. 訪問支持
    viii. 日誌支持
    ix. NAT支持
    x. 管理支持

防火牆技術分類（技術的簡要介紹？）

a. 包過濾技術（分組過濾技術）
b. 應用網關技術（應用代理技術）
c. 狀態檢測技術

包過濾技術和應用網關技術的區別：

a. 應用網關技術工作在OSI最高層，開銷大
b. 應用網關技術對於每項服務都需要使用專門的代理服務器
c. 應用網關技術的便攜性較差
d. 應用網關技術的安全性最好

堡壘主機：

一種被強化的可以防禦攻擊的計算機，作爲網絡內部的一個檢查點，把所有問題集中到一臺計算機上解決

非軍事區（緩衝區）DMZ：

爲了解決安裝防火牆後，外部網絡不能訪問內部網絡服務器的問題，而設立的一個安全區和非安全區之間的緩衝區

防火牆的體系結構：

a. 單宿主堡壘主機 體系結構
b. 雙宿主堡壘主機 體系結構
c. 屏蔽子網 體系結構
    i. 最安全，價格高
d. 篩選路由 體系結構
    i. 不太安全，價格低