防火墙及入侵检测技术教学讲义.ppt

防火墙及入侵检测技术简介
网络通信安全管理员培训班
讲座提纲
*
*
网络通信安全管理员培训班
概述-网络安全现状
网络
内部、外部泄密
拒绝服务攻击
逻辑炸弹
特洛伊木马
黑客攻击
计算机病毒
***代码有不同的内容Data
0 8 16 31
ICMP header ICMP data
IP header I P data
封装
*
*
网络通信安全管理员培训班
防火墙 4 –包过滤技术原理
源端口
Source Port
(16bit)
宿端口
Destination Port
(16bit)
序列号
Sequence Number
(32bit)
确认号
Acknowledgment Number
(32bit)
Data
Offset
(4bit)
Reserved
(6bit)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
窗口大小
Window
size
(16bit)
校验和
Checksum
(16bit)
紧急指针
Urgent Pointer
(16bit)
选项
Options (0
或多个
32
bit
字
)
数据
Data (
可选
)
TCP头部：
*
*
网络通信安全管理员培训班
防火墙 4 –包过滤技术原理
UDP头部：
UDP源端口
UDP宿端口
UDP长度
UDP校验和
16bit
16bit
最小值为8
全“0”：不选；
全“1”：校验和为0。
*
*
网络通信安全管理员培训班
IP 源地址
IP目的地址
封装协议(TCP、UDP、或IP Tunnel)
TCP/UDP源端口
TCP/UDP目的端口
ICMP包类型
TCP报头的ACK位
包输入接口和包输出接口
防火墙 4 –包过滤的依据
*
*
网络通信安全管理员培训班
多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet 、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。
典型的过滤规则有以下几种：
.只允许进来的Telnet会话连接到指定的一些内部主机
.只允许进来的FTP会话连接到指定的一些内部主机
.允许所有出去的Telnet 会话
.允许所有出去的FTP 会话
.拒绝从某些指定的外部网络进来的所有信息
防火墙 4 –依赖于服务的过滤
*
*
网络通信安全管理员培训班
源IP地址欺骗攻击
源路由攻击
残片攻击
防火墙 4 –独立于服务的过滤
*
*
网络通信安全管理员培训班
结构
防火墙 –包过滤防火墙
*
*
网络通信安全管理员培训班
防火墙 –包过滤防火墙
IP封包
目的IP地址
源IP地址
目的端口号
源端口号
数据
TCP/UDP封包
包过滤防火墙
原理
*
*
网络通信安全管理员培训班
规则表
防火墙 –包过滤防火墙
*
*
网络通信安全管理员培训班
原理
通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制