防火墙技术.ppt

防火墙技术
学习内容
包过滤技术概念、原理、缺陷
状态检测技术的实现原理
代理技术概念、实现原理
数据包过滤技术
数据包过滤技术定义:在网络中适当的位置对数据包实施有选择的通过,选择依据为系统内的过滤规则(ACL)。
工作原理:(联想过滤纸或筛子的作用)
通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有TCP端口号和TCP链路状态、ICMP消息类型等要素,然后依据一组预定义的规则,将数据信息与设立的规则相比较,以允许合乎逻辑的数据包通过防火墙进入内网,不合逻辑的数据包加以过滤或者删除。
包过滤设置步骤
设置步骤:
1、根据需要,正确制定一个安全策略
2、正式规定允许的包类型、包字段的逻辑表达
3、用防火墙支持的语法重写表达式
设置实例
1:按地址
2:按服务
应用层
TCP 层
IP 层
网络接口层
TCP
开始攻击
IP
开始攻击
TCP
TCP
开始攻击
IP
ETH
开始攻击
TCP
开始攻击
IP
应用层
TCP 层
IP 层
网络接口层
TCP
开始攻击
IP
开始攻击
TCP
TCP
开始攻击
IP
ETH
开始攻击
只检查报头
1010010010010100100000111001**********
0010010010100100000111001**********
包过滤防火墙的工作原理
简单包过滤防火墙不检查数据区
简单包过滤防火墙不建立连接状态表
前后报文无关
应用层控制很弱
过滤规则示例
规则
方向
源地址
目的地址
协议
源端口
目的端口
Ack设置
动作
A
出


Tcp
>1023
23
任意
拒绝
B
入


Tcp
23
>1023
是
任意
C
出

任意
Tcp
>1023
23
任意
允许
D
入
任意

Tcp
23
>1023
是
允许
E
出

任意
Tcp
>1023
25
任意
允许
F
入
任意

Tcp
25
>1023
是
允许
G
入
任意

Tcp
>1023
25
任意
允许
H
出

任意
Tcp
25
>1023
任意
允许
I
出

任意
Tcp
>1023
80
任意
允许
J
入
任意

Tcp
80
>1023
是
允许
K
入


Tcp
>1023
80
任意
允许
L
出


Tcp
80
>1023
任意
允许
M
双向
任意
任意
任意
任意
任意
任意
任意
包过滤防火墙的优缺点
优点:
价格低,一个过滤路由器能协助保护整个网络;
数据包过滤对用户透明;
对网络性能的影响小;
过滤路由器速度快、效率高;
包过滤防火墙是两个网络之间唯一的访问通道;
包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理数据包。
缺点:
配置困难,包过滤防火墙很复杂,人们常会忽略建立一些必要的规则,或错误的配置了已有的规则,在防火墙上留下漏洞;
没有用户使用记录,这样不能从访问记录中发现黑客的攻击记录。
可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这样不是防火墙自身的缺点,而是不应该在网络安全上单纯依靠防火墙。