下载此文档

防火墙技术.ppt


文档分类:IT计算机 | 页数:约24页 举报非法文档有奖
1/ 24
下载提示
  • 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
  • 2.下载该文档所得收入归上传者、原创者。
  • 3.下载的文档,不会出现我们的网址水印。
1/ 24 下载此文档
文档列表 文档介绍
防火墙技术
学习内容
包过滤技术概念、原理、缺陷
状态检测技术的实现原理
代理技术概念、实现原理
数据包过滤技术
数据包过滤技术定义:在网络中适当的位置对数据包实施有选择的通过,选择依据为系统内的过滤规则(ACL)。
工作原理:(联想过滤纸或筛子的作用)
通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有TCP端口号和TCP链路状态、ICMP消息类型等要素,然后依据一组预定义的规则,将数据信息与设立的规则相比较,以允许合乎逻辑的数据包通过防火墙进入内网,不合逻辑的数据包加以过滤或者删除。
包过滤设置步骤
设置步骤:
1、根据需要,正确制定一个安全策略
2、正式规定允许的包类型、包字段的逻辑表达
3、用防火墙支持的语法重写表达式
设置实例
1:按地址
2:按服务
应用层
TCP 层
IP 层
网络接口层
TCP
开始攻击
IP
开始攻击
TCP
TCP
开始攻击
IP
ETH
开始攻击
TCP
开始攻击
IP
应用层
TCP 层
IP 层
网络接口层
TCP
开始攻击
IP
开始攻击
TCP
TCP
开始攻击
IP
ETH
开始攻击
只检查报头
1010010010010100100000111001**********
0010010010100100000111001**********
包过滤防火墙的工作原理
简单包过滤防火墙不检查数据区
简单包过滤防火墙不建立连接状态表
前后报文无关
应用层控制很弱
过滤规则示例
规则
方向
源地址
目的地址
协议
源端口
目的端口
Ack设置
动作
A



Tcp
>1023
23
任意
拒绝
B



Tcp
23
>1023

任意
C


任意
Tcp
>1023
23
任意
允许
D

任意

Tcp
23
>1023

允许
E


任意
Tcp
>1023
25
任意
允许
F

任意

Tcp
25
>1023

允许
G

任意

Tcp
>1023
25
任意
允许
H


任意
Tcp
25
>1023
任意
允许
I


任意
Tcp
>1023
80
任意
允许
J

任意

Tcp
80
>1023

允许
K



Tcp
>1023
80
任意
允许
L



Tcp
80
>1023
任意
允许
M
双向
任意
任意
任意
任意
任意
任意
任意
包过滤防火墙的优缺点
优点:
价格低,一个过滤路由器能协助保护整个网络;
数据包过滤对用户透明;
对网络性能的影响小;
过滤路由器速度快、效率高;
包过滤防火墙是两个网络之间唯一的访问通道;
包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理数据包。
缺点:
配置困难,包过滤防火墙很复杂,人们常会忽略建立一些必要的规则,或错误的配置了已有的规则,在防火墙上留下漏洞;
没有用户使用记录,这样不能从访问记录中发现黑客的攻击记录。
可能还有其他方法绕过防火墙进入网络,例如拨入连接。但这样不是防火墙自身的缺点,而是不应该在网络安全上单纯依靠防火墙。

防火墙技术 来自淘豆网www.taodocs.com转载请标明出处.

非法内容举报中心
文档信息
  • 页数 24
  • 收藏数 0 收藏
  • 顶次数 0
  • 上传人 所以所以
  • 文件大小 0 KB
  • 时间2012-02-26
最近更新