共查询到20条相似文献,搜索用时 140 毫秒
1.
传统防火墙分析 包过滤防火墙位于协议网络层,按照网络安全策略对IP包进行选择,允许或拒绝特定的报文通过.过滤一般是基于一个IP分组的有关域(IP源地址、IP目的地址、TCP/UDP源端口或服务类型和TCP/UDP目的端口或服务类型)进行的.基于IP源/目的地址的过滤,即根据特定组织机构的网络安全策略,过滤掉具有特定IP地址的分组,从而保护内部网络;基于TCP/UDP源/目的端口的过滤,因为端口号区分了不同的服务类型或连接类型(如SMTP使用端口25,Telnet使用端口23等),所以为包过滤提供了更大的灵活性.同时由于它是位于协议的网络层,所以效率较高;但是该防火墙所依靠的安全参数仅为IP报头的地址和端口信息,若要增加安全参数,增加对数据报文的处理,则势必加大处理难度,降低系统效率,故安全性较低.同时一般的包过滤还具有泄露内部网的安全数据信息(如拓扑结构信息)和暴露内部主机的所有安全漏洞的缺点,难以抵制IP层的攻击行为. 相似文献
2.
3.
中国将制定SIP/H.323穿越NAT/防火墙的标准 总被引:1,自引:0,他引:1
随着基于SIP/H.323的宽带业务的蓬勃发展,为了解决网络安全问题和IP地址资源匮乏等问题,大量企业和驻地网采用了私有编址(RFC1918)通过NAT/防火墙出口来接入公共网络。 NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,不满足条件的IP包不能够穿透NAT/防火墙。 NAT/防火墙对HTTP等端口固定的一般应用协议只需要转换IP/TCP/UDP头即可很好的实现穿透,但对于H.323/SIP/H.248/ 相似文献
4.
5.
为了解决网络安全和地址资源匮乏等问题,大量企业和驻地网采用了私有编址(RFC1918),并通过NAT/防火墙来控制与公共网络的通信。NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,让不满足条件的IP包不能够穿透NAT/防火墙。NAT/防火墙对HTTP等端口固定的一般应用协议,只需要转换IP、TCP、UDP头,即可很 相似文献
6.
7.
NAT(Network Address Translation)是一种把内部私有网络的IP地址翻译成公共网络的IP地址的技术。在国内由于公网IP地址资源匮乏和网络安全问题等原因,大量企业用户和个人宽带用户采用了内网编址,并通过NAT/防火墙来与公共网络通信。NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,让不满足条件的IP包不能够穿透NAT/防火墙。目前的NAT/防火墙设备对HTTP、POP3等端口固定的常用协议都有很好的支持,只要稍加配置即可很好地实现穿透,但对于语音和视频应用来说,其控制信息常需要用到动态协商或随机打开… 相似文献
8.
9.
一、引言 为了解决网络安全问题和地址资源匮乏等问题,大量企业和驻地网采用了私有编址(RFC1918),并通过网络地址翻译(NAT)来控制与公共网络的通信。NAT能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,让不满足条件的IP包不能够穿透NAT。NAT对HTTP等端口固定的一般应用协议.只需要转换IP/TCP/UDP头即可实现穿透, 相似文献
10.
在互联网通信中,所有的包都是有其地址的,从底层的物理硬件地址、LLC服务地址到IP地址、TCP、UDP的服务端口等,正是依靠这些地址才找到了目标主机和用户进程,最终完成通信。既要无IP地址,又要接收到所有通信包,那么只有工作在IP层之下的数据链路层,利用物理硬件地址接收数据帧;这样防火墙对所截取的数据帧进行解析、处理就可以达到安全目的。以往的传统防火墙只解析IP层以上的信息;而在透明模式下,防火墙则对包括数据链路层及其以上各层的全方位的信息解析,使得上层的判断包含了更充分的数据和信息,以此来对各种报文、攻… 相似文献
11.
12.
13.
《信息安全与通信保密》2005,(5):81-82
安全威胁由最初的文件病毒、DDoS攻击、端口扫描,发展到现在的蠕虫病毒、木马、间谍软件、黑客入侵等,网络安全威胁已经由针对TCP/IP协议的漏洞攻击转到利用TCP/IP数据包内容对操作系统和应用漏洞攻击,传统的防火墙已经无能为力。与之抗衡的防火墙技术的发展也经历了第一代包过滤防火墙,第二代应用代理防火墙,第三代全状态检测防火墙和新兴的第四代深度包检测防火墙,即一体化威胁管理设备,简称U T M设备。与第三代全状态检测防火墙不同的是,UTM设备不仅能在第三层,第四层检查TCP/IP协议和规则,而且能扫描数据到应用层,实现网关防… 相似文献
14.
程克勤 《电子产品维修与制作》2009,(1):50-51
策略路由(PolicY—Based Routing)是路由器的一项扩展功能。它不仅能以目的地址为依据来进行路由选择,还能根据源IP地址、目的IP址、协议字段,甚至于TCP、UDP的源、目的端口等多种组合进行选路。简单地说,只要IP标准或扩展的访问控制列表(Standard/Extended ACL)能设置的,都可以作为策略路由的匹配规则进行转发。 相似文献
15.
张景平 《信息安全与通信保密》2001,(9)
首信防火墙的主要功能 本系统的主要功能包括:防止外部攻击,保护内部网络,解决网络边界的安全问题;通过防火墙隔离内外网络;支持访问代理功能;对IP地址进行访问控制;对端口进行访问控制;对协议进行访问控制;按照某种政策进行访问控制;通过IP地址和MAC地址的对应防止IP盗用;基于IP地址进行流量统计;基于工作组进行流量统计;提供计费和流量管理,查询和统计功能。另外,首信防火墙系统采用了19英寸的标准工业用计算机,具有极高的稳定性和可靠性。 相似文献
16.
17.
在TCP/IP网络中,包过滤防火墙的策略制定是至关重要的。策略就是让包过滤防火墙在转发数据包之前打开TCP/IP封装,检查进出网络的数据包的各种属性,决定是否允许该数据包通过防火墙。文中对TCP、IP数据包进行了描述,给出了一些策略实例。 相似文献
18.
TCP/IP协议是网络中使用的基本通信协议.虽然从名字上看它包括两个协议:TCP协议和IP协议,但确切的说,TCP/IP实际上是一组协议,除了最常用的TCP和IP协议外,还包含许多其它的工具性协议、管理协议及应用协议.TCP/IP协议共分为4层,即:应用层、传输层、互连网络层、网络接入层.其中,应用层向用户提供访问Internet的一些高层协议,使用最广泛的有TELNET、FTP、SMTP、DNS等.传输层提供应用程序端到端的通信服务,该层有两个协议:TCP和UDP.互连网络层负责相邻主机之间的通信,该层协议主要有IP和ICMP等.网络接口层是TCP/IP协议软件的最低一层,主要负责数据帧的发送和接收. 相似文献
19.
因特网(Internet)是全球最大的、开放的、由众多网络互连而成的计算机网络.TCP/IP协议旅是实现网络连接性和互操作性的关键。TCP/IP协议的开放性促进了Internet的发展和普及,但由此带来的网络安全问题正日益突出。为了保护国家公众信息网和企业内部网及外联网信息和数据的安全,必须大力发展网络安全技术。 相似文献
20.
包过滤防火墙系统的设计与研究 总被引:2,自引:1,他引:1
为了实现保护信息不被窃取或破坏,设计了一款个人防火墙。该防火墙集成了个人防火墙中普遍采用的两种包过滤方法,即通过内核态下的网络封包拦截获得网络数据包的进程、端口、协议等详细信息,根据协议和端口规则对网络数据封包进行处理;同时,通过用户态下对应用程序数据包的拦截来设置自己的应用程序规则来进行过滤。采用推理机实现过滤规则的动态生成;提高了包过滤防火墙的性能,能更好地保证网络信息的安全。 相似文献