包过滤技术——防火墙技术与应用PPT课件
合集下载
《防火墙》课件
防火墙的原理与功能
原理
防火墙通过使用包过滤、状态检测和应用代理等技术,实现对网络通信的检查和保护。
功能
防火墙可以提供访问控制、数据包过滤、入侵检测和预防、安全日志记录等功能,以增强网 络安全。
局限
尽管防火墙能够提供有效的网络安全保护,但它并不是绝对安全的,仍然存在一些局限和薄 弱点。
常见的防火墙类型
2 管理
防火墙的管理涉及日常维护、安全策略更新、日志分析和漏洞修复等操作,以保证防火 墙的有效工作。
防火墙的优点和局限
优点
防火墙可以帮助防止未授权访问、减少网络攻击和 数据泄露,提高网络安全性。
局限
防火墙不能完全阻止所有的网络攻击,对某些高级 攻击和内部威胁可能无法提供足够的保护。
防火墙的应用实例和案例
《防火墙》PPT课件
欢迎来到《防火墙》PPT课件!在本课程中,我们将深入探讨防火墙的各个方 面,包括定义、原理与功能、类型、工作流程、配置与管理、优点和局限以 及应用实例和案例。
防火墙的定义
防火墙是一种网络安全技术,用于保护计算机网络免受未授权访问和恶意攻 击。它通过监视和控制网络流量,根据预定义的规则允许或阻止数据包的传 输。
1
数据包到达
防火墙接收传入或传出的数据包,准备进行检测和处理。
2
流量检测
防火墙根据预定义的规则和策略,检测数据包的来源、目的地和内容。
3
访问控制
根据检测结果,防火墙决定是否允许或阻止数据包的传输。
防火墙的配置与管理
1 配置
防火墙的配置包括规则定义、策略配置和网络拓扑的设置等,以满足具体的网络安全需 求。
1
实例
在企业内部网络中,防火墙可以用于保
案例
《防火墙技术 》课件
防火墙技术的分类
按部署位置分类
网络边界防火墙、主机防火 墙、内部网络防火墙。
按功能分类
包过滤防火墙、状态检测防 火墙、应用代理防火墙。
按网络架构分类
单层防火墙架构、多层防火 墙架构。
防火墙技术的工作模式
1 包过滤模式
根据预定义的规则对数据包进行过滤和阻止。
2 状态检测模式
基于网络连接状态对数据包进行判断和过滤。
《防火墙技术》PPT课件
欢迎来到我们的《防火墙技术》PPT课件!在这个课件中,我们将介绍防火 墙技术的基本原理、分类、工作模式、实现方式、应用以及注意事项。让我 们一起探索这个引人入胜的主题吧!
什么是防火墙技术?
防火墙技术是指用于保护计算机网络免受未经授权访问和意外数据泄露的一系列策略、设备和技术。它 的目的是保护网络免受潜在威胁,并控制网络流量的进出。
3 应用代理模式
作为数据包的中间人,对数据进行合法性检查和过滤。
防火墙技术的实现方式
软件型防火墙
基于软件的防火墙应用程序,安装在操作系统上。
硬件型防火墙
独立的硬件设备,用于处理网络流量和执行安全策略。
虚拟型防火墙
在虚拟化环境中部署的防火墙,保护虚拟网络。
防火墙技术的应用
1
企业内部网络
保护企业内部网络免受未经授权访问和恶意软件的攻击。
定期更新防火墙规则、 软件和固件以及执行安 全审计。
防火墙技术的发展趋势
智能防火墙技术
利用人工智能和机器学习改进 防火墙的自动化、检测和响应 能力。
云计算与防火墙技术
人工智能与防火墙技术
应对云计算环境中的安全挑战, 并提供弹性和可扩展性。
使用人工智能技术来识别并应 对复杂的网络攻击和威胁。
防火墙及其应用PPT课件
服务器
包过滤路由器
互联网
内部网络
图7-2 包过滤路由器的物理位置
第7页/共32页
过滤规则处理
应用层 表示层
会话层 传输层
网络层
图7-3 包过滤路链路由层 器的逻辑位置
物理层
内部网络
外部网络
第8页/共32页
两类包过滤防火墙技术
包过滤防火墙技术根据所使用的过滤方法又具体可分为:简单包过滤技术和状态检测包过滤技术。 1. 简单包过滤技术
第13页/共32页
2. 应用级网关 应用级网关使用软件来转发和过滤特定的应用服务,如TELNET,FTP服务等。这也是一种代理服务,
只允许被认为是可信的服务通过防火墙。此外,代理服务也可以过滤协议,如过滤FTP连接、拒绝使用FTP 命令等。
第14页/共32页
3.自适应代理 自适应代理(Adaptive Proxy) 技术结合了代理服务器防火墙的安
第27页/共32页
• 所有的防火墙都是在以下两种模式下配置安全规则: • “白名单”模式 系统默认为拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型, 因此白名单上的规则是具有合法性访问的安全规则 • “黑名单”模式 系统默认为允许所有的流量,这种情况需要特殊指定要拒绝的流量的类型,因此在黑名单上定义 的安全规则属于非法的、被禁止的网络访问,这种模式是一种开放的默认管理模式。
第16页/共32页
• 2. 按照体系结构分类 (1)个人防火墙 安装在计算机系统里的软件防火墙,该软件检查到达防火墙两端的 所有数据包,无论是进入还是发出,从而决定该拦截数据包还是允许其通 过。 (2)分布式防火墙 分布式防火墙负责对网络边界、各子网和网络内部各结点之间的安 全防护。分布式防火墙是一个完整的系统,而不是单一的产品。
第七讲防火墙技术PPT课件
应用程序网关应用实例
应用程序网关的产品
商业版防火墙产品
商业版代理(cache)服务器
Open Source Software
– TIS FWTK(Firewall toolkit) – Apache – Squid
电路级网关
拓扑结构同应用程序网关相同 接收客户端连接请求,代理客户端完成网络连接 在客户和服务器间中转数据 通用性强
✓是批量上市的专用防火墙产品 ✓包括分组过滤或借用路由器的分组过滤功能 ✓装有专用的代理系统,监控所有协议的数据和指令 ✓保护用户编程空间和用户可配置内核参数的设置 ✓安全性和速度大为提系统特性,加固内核,强化安全保护 ✓在功能上包括了分组过滤、应用网关、电路级网关 ✓增加许多附件功能:加密、鉴别、审计、NAT转换 ✓透明性号,易于使用
防火墙的种类
➢ 分组过滤防火墙(Packet Filtering Firewall) ➢ 应用代理防火墙(Application Proxy Firewall) ➢ 状态检测防火墙(Stateful Inspection Firewall)
分组过滤工作原理
控制策略
Source Host A Host B
应用程序网关
实现比包过滤路由器更严格的安全策略 对每种服务需要安装特殊的代码(代理服务) 优点:
(1)对服务进行全面的控制 (2)支持可靠的用户认证并提供详细的注册信息 (3)用于应用层的过滤规则更容易配置和测试
缺点:
要求用户改变自己的行为,或者在访问代理服务的 每个系统上安装特殊的软件,灵活性不够
缺点:堡垒主机与其它主机在
同一个子网,一旦堡垒主机杯
攻破或被越过,整个内网和堡
垒主机之间就没有任何阻挡, 产
《防火墙技术》PPT课件
• 了解恶意进攻手段
现代信息安全系统
•现代信息安全系统=
–防火墙 –+合适的安全策略 –+全体人员的参与
防火墙的应用设计原则
• Affordability
– 我准备为安全支付多少费用?
• Functionality
– 我是否还能使用我的资源?
• Cultural Compatibility
– 是否符合人们的工作方式?
地址翻译-NAT(一)
• RFC1918规定了私有地址
– 下面三类地址不能用于Internet主机地址
地址翻译-NAT(二)
• 实现方式
– 静态地址翻译 – 动态地址翻译 – 端口地址翻译(PAT)
• 优点:节约地址资源,有一定的安全保 护作用
• 缺点:有些服务不能支持
NAT-静态地址翻译
NAT-端口地址翻译
• 两种缺省选择
– 没有被明确允许的即为禁止 – 没有被明确禁止的即为允许
防火墙的安全策略
• 防火墙的物理安全 • 防火墙的认证加密 • 防火墙的过滤策略 • 防火墙的预警能力 • 防火墙的记录设置
名词解释
• 堡垒主机(Bastion Host)
– 一个高度安全的计算机系统。通常是暴露于 外部网络,作为连接内部网络用户的桥梁, 易受攻击。
回路层代理服务
全状态检测(Stateful Inspection)
Application Presentation
Session Transport Network DataLink Physical
Application Presentation
Session Transport Network
– TCP or UDP
现代信息安全系统
•现代信息安全系统=
–防火墙 –+合适的安全策略 –+全体人员的参与
防火墙的应用设计原则
• Affordability
– 我准备为安全支付多少费用?
• Functionality
– 我是否还能使用我的资源?
• Cultural Compatibility
– 是否符合人们的工作方式?
地址翻译-NAT(一)
• RFC1918规定了私有地址
– 下面三类地址不能用于Internet主机地址
地址翻译-NAT(二)
• 实现方式
– 静态地址翻译 – 动态地址翻译 – 端口地址翻译(PAT)
• 优点:节约地址资源,有一定的安全保 护作用
• 缺点:有些服务不能支持
NAT-静态地址翻译
NAT-端口地址翻译
• 两种缺省选择
– 没有被明确允许的即为禁止 – 没有被明确禁止的即为允许
防火墙的安全策略
• 防火墙的物理安全 • 防火墙的认证加密 • 防火墙的过滤策略 • 防火墙的预警能力 • 防火墙的记录设置
名词解释
• 堡垒主机(Bastion Host)
– 一个高度安全的计算机系统。通常是暴露于 外部网络,作为连接内部网络用户的桥梁, 易受攻击。
回路层代理服务
全状态检测(Stateful Inspection)
Application Presentation
Session Transport Network DataLink Physical
Application Presentation
Session Transport Network
– TCP or UDP
防火墙技术的原理与应用 PPT
Байду номын сангаас
外部网络
内部网络
路由器
防火墙
图8-1 防火墙部署安装示意图
防火墙根据网络包所提供的信息实现网络通信访问控制: 如果网络通信包符合网络访问控制策略,就允许该网络通信包
通过防火墙,否则不允许,如图 8-2 所示。防火墙的安全策略
有两种类型,即: (1) 只允许符合安全规则的包通过防火墙,其他通信包禁 止。 (2) 禁止与安全规则相冲突的包通过防火墙,其他通信包 都允许。
应用层,首先依据各层所包含的信息判断是否遵循安全规则,
然后控制网络通信连接,如禁止、允许。防火墙简化了网络的 安全管理。如果没有它,网络中的每个主机都处于直接受攻击 的范围之内。为了保护主机的安全,就必须在每台主机上安装 安全软件,并对每台主机都要定时检查和配置更新。归纳起来, 防火墙的功能有: * 过滤非安全网络访问。将防火墙设置为只有预先被允许 的服务和用户才能通过防火墙,禁止未授权的用户访问受保护
惟一网络通道,可以记录所有通过它的访问并提供网络使用情 况的统计数据。依据防火墙的日志,可以掌握网络的使用情况, 例如网络通信带宽和访问外部网络的服务数据。防火墙的日志 也可用于入侵检测和网络攻击取证。
* 网络带宽控制。防火墙可以控制网络带宽的分配使用, 实现部分网络质量服务(QoS)保障。
* 协同防御。目前,防火墙和入侵检测系统通过交换信息
* deny表示若经过Cisco IOS过滤器的包条件匹配,则禁止 该包通过; * permit表示若经过Cisco IOS过滤器的包条件匹配,则允 许该包通过;
* source表示来源的IP地址;
* source-wildcard 表示发送数据包的主机 IP地址的通配 符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任 何来源的IP包; * destination表示目的IP地址; * destination-wildcard 表示接收数据包的主机IP地址的 通配符掩码; * protocol 表示协议选项,如IP、ICMP、UDP、TCP等;
外部网络
内部网络
路由器
防火墙
图8-1 防火墙部署安装示意图
防火墙根据网络包所提供的信息实现网络通信访问控制: 如果网络通信包符合网络访问控制策略,就允许该网络通信包
通过防火墙,否则不允许,如图 8-2 所示。防火墙的安全策略
有两种类型,即: (1) 只允许符合安全规则的包通过防火墙,其他通信包禁 止。 (2) 禁止与安全规则相冲突的包通过防火墙,其他通信包 都允许。
应用层,首先依据各层所包含的信息判断是否遵循安全规则,
然后控制网络通信连接,如禁止、允许。防火墙简化了网络的 安全管理。如果没有它,网络中的每个主机都处于直接受攻击 的范围之内。为了保护主机的安全,就必须在每台主机上安装 安全软件,并对每台主机都要定时检查和配置更新。归纳起来, 防火墙的功能有: * 过滤非安全网络访问。将防火墙设置为只有预先被允许 的服务和用户才能通过防火墙,禁止未授权的用户访问受保护
惟一网络通道,可以记录所有通过它的访问并提供网络使用情 况的统计数据。依据防火墙的日志,可以掌握网络的使用情况, 例如网络通信带宽和访问外部网络的服务数据。防火墙的日志 也可用于入侵检测和网络攻击取证。
* 网络带宽控制。防火墙可以控制网络带宽的分配使用, 实现部分网络质量服务(QoS)保障。
* 协同防御。目前,防火墙和入侵检测系统通过交换信息
* deny表示若经过Cisco IOS过滤器的包条件匹配,则禁止 该包通过; * permit表示若经过Cisco IOS过滤器的包条件匹配,则允 许该包通过;
* source表示来源的IP地址;
* source-wildcard 表示发送数据包的主机 IP地址的通配 符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任 何来源的IP包; * destination表示目的IP地址; * destination-wildcard 表示接收数据包的主机IP地址的 通配符掩码; * protocol 表示协议选项,如IP、ICMP、UDP、TCP等;
防火墙技术的原理与应用PPT课件
.
12
第8章 防火墙技术的原理与应用
除此之外,防火墙还有一些脆弱点,例如:
* 防火墙不能完全防止感染病毒的软件或文件传输。防火 墙是网络通信的瓶颈,因为已有的病毒、操作系统以及加密和 压缩二进制文件的种类太多,以致于不能指望防火墙逐个扫描 每个文件查找病毒,而只能在每台主机上安装反病毒软件。
* 防火墙不能防止基于数据驱动式的攻击。当有些表面看 来无害的数据被邮寄或复制到主机上并被执行而发起攻击时, 就会发生数据驱动攻击效果。防火墙对此无能为力。
(1) 只允许符合安全规则的包通过防火墙,其他通信包禁 止。
(2) 禁止与安全规则相冲突的包通过防火墙,其他通信包都 允许。
.
7
第8章 防火墙技术的原理与应用
内 部网 络 受 到禁 止 通 信流
禁止
允 许通 过 通 信流 允许
外 部网 络
通 信被 禁 止 , 因 为不 符 合 安全 规则
到 外网 通 信
* 协同防御。目前,防火墙和入侵检测系统通过交换信息 实现联动,根据网络的实际情况配置并修改安全策略,增强网 络安全。
.
11
第8章 防火墙技术的原理与应用
8.1.3 防火墙缺陷
尽管防火墙有许多防范功能,但它也有一些力不能及的 地方,因为防火墙只能对通过它的网络通信包进行访问控制, 所以对未经过它的网络通信就无能为力了。例如,如果允许 从内部网络直接拨号访问外部网络,则防火墙就失效了,攻 击者通过用户拨号连接直接访问内部网络,绕过防火墙控制, 也能造成潜在的攻击途径。
.
3
第8章 防火墙技术的原理与应用
在安全区域划分的基础上,通过一种网络安全设备,控 制安全区域间的通信,就能实现隔离有害通信的作用,进而 可以阻断网络攻击。这种安全设备的功能类似于防火使用的 墙,因而人们就把这种安全设备俗称为“防火墙”,它一般 安装在不同的安全区域边界处,用于网络通信安全控制,由 专用硬件或软件系统组成。
防火墙ppt课件
✓ 会话层:主要针对远程终端访问。主要任务包括会话管理、
传输同步以及活动管理等。
✓ 表示层:主要功能是信息转换,包括信息压缩、加密、与标
准格式的转换(以及上述各操作的逆操作)等等。
✓ 应用层:提供最常用且通用的应用程序,包括电子邮件(E-
mail)和文电传输等。
OSI参考模型与Internet协议簇
协议--TCP/IP协议分层
应用层 传输层 网间网层 网络接口层
协议--TCP/IP协议分层
✓ 应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子邮件、
远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自 己的专用应用程序,这些专用应用程序要用到TCP/IP,但不属于TCP/IP。
TCP/IP服务(cont.)
SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮 件。
TELNET - 可以远程登陆到网络的每个主机上,直接使用他的 资源。
FTP - File Transfer Protocol,用文件传输。 DNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服
TCP与UDP端口
一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP地址、 源端口、目的地端口。
务所用,可以把主机名字转换为 IP 地址。 WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息
服务的结合体,使用超文本传输协议 (http)。
IP
IP协议的主要内容包括无连接数据报传送、数据报寻径及差错 处理三部分。
IP层作为通信子网的最高层,屏蔽底层各种物理网络的技术环 节,向上(TCP层)提供一致的、通用性的接口,使得各种物 理网络的差异性对上层协议不复存在。
传输同步以及活动管理等。
✓ 表示层:主要功能是信息转换,包括信息压缩、加密、与标
准格式的转换(以及上述各操作的逆操作)等等。
✓ 应用层:提供最常用且通用的应用程序,包括电子邮件(E-
mail)和文电传输等。
OSI参考模型与Internet协议簇
协议--TCP/IP协议分层
应用层 传输层 网间网层 网络接口层
协议--TCP/IP协议分层
✓ 应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子邮件、
远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自 己的专用应用程序,这些专用应用程序要用到TCP/IP,但不属于TCP/IP。
TCP/IP服务(cont.)
SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮 件。
TELNET - 可以远程登陆到网络的每个主机上,直接使用他的 资源。
FTP - File Transfer Protocol,用文件传输。 DNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服
TCP与UDP端口
一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP地址、 源端口、目的地端口。
务所用,可以把主机名字转换为 IP 地址。 WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息
服务的结合体,使用超文本传输协议 (http)。
IP
IP协议的主要内容包括无连接数据报传送、数据报寻径及差错 处理三部分。
IP层作为通信子网的最高层,屏蔽底层各种物理网络的技术环 节,向上(TCP层)提供一致的、通用性的接口,使得各种物 理网络的差异性对上层协议不复存在。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 内部网络 地址
2 外部网络 地址
3 所有
目的IP
外部网络 地址
内部网络 地址
所有
协 议 源端口 目的端口 标志位 操作
TCP 任意 80
任意 允许
TCP 80
>1023 ACK 允许
所有 所有 所有
所有 拒绝
--
7
访问控制列表的配置有两种方式 • 严策略。接受受信任的IP包,拒绝其他所有的IP包。 • 宽策略。拒绝不受信任的IP包,接受其他所有的IP包。
--
11
谢谢(*^^*)
--
12
包过滤设备配置有一系列数据过滤规则,定义了什 么包可以通过防火墙,什么包必须丢弃。这些规则被称 为数据包过滤访问控制列表(ACL)。
--
6
下表所示的过滤规则样表包含以下内容: • 源IP地址、目标IP地址、源端口、目的端口 • 协议类型 • TCP包头标志位 • 对数据包的操作 • 数据流向
序号 源IP
主讲人:郑棋元
论 文:刘航
PPT: 刘丹晨
--
1
• 包过滤原理 • 包过滤规则表 • 包过滤技术优缺点分析
--
2
什么是包过滤技术?
包过滤是最早应用到防火墙当中的技术之一。 它针对网络数据包由信息头和数据信息两部分组成
这一特点而设计。 包过滤防火墙工作在网络层和传输层。
--
3
包过滤技术是对通过防火墙的数据包的首部信息进 行解析,根据事先定义的访问控制列表(ACL)规则决 定包的前行或被舍弃,以达到对数据包进行过滤。ACL 的出现就是配合防火墙的设计而被定义出来的。所以包 过滤防火墙的精华之处就在于ACL。包过滤既可作用在 入方向也可作用在出方向。
• 路由器信息包的吞吐量随过滤器数量的增加而 减少。
• 不能彻底防止地址欺骗。伪造IP地址很容易、 普遍。
--
10
缺点:
• 一些应用协议不适合于数据包过滤。即使是完 美的数据包过滤,也会发现一些协议不很适合 于经由数据包过滤安全保护。
• 一些包过滤路由器不提供任何日志能力,直到 闯入发生后,危险的封包才可能检测出来。它 可以阻止非法用户进入内部网络,但也不会告 诉我们究竟都有谁来过,或者谁从内部进入了 外部网络。
• 包过滤路由器对终端用户和应用程序是透明的 。当数据包过滤路由器决定让数据包通过时, 它与普通路由器没什么区别,甚至用户没有认 识到它的存在,因此不需要专门的用户培训或 在每主机上设置特别的软件。
--
9
缺点:
• 定义包过滤器需要网管员需要详细地了解 Internet各种服务、包头格式和他们在希望每 个域查找的特定的值。是一项很复杂的工作。
在实际应用中一般采用严策略来设置防火墙规则。 一般地,包过滤防火墙还应该阻止以下几种IP包进入内部 网 源地址是内部地址的外来数据包 指定中转路由器的数据包 有效载荷很小的数据包
--
8
优点:
• 一个过滤路由器能协助保护整个网络。绝大多 数Internet防火墙系统只用一个包过滤路由器;
• 过滤路由器速度快、效率高。
--
4
包过滤技术应用的关键问题是如何检查数据包,以 及检查到何种程度才能既保障安全又不会对通信速度产 生明显负面影响。从理论上讲,包过滤防火墙可以被配 置为根据协议报头的任何数据域进行分析过滤,但大多 数只是针对性的分析数据包信息头查模块将所有通过的数据包中发送方 IP地址、接收方的IP地址、TCP端口、TCP标志位等信 息读出,按照预先设置的过滤规则过滤数据包。只有满 足过滤规则的数据包才被转发,其余数据包则被丢弃。
2 外部网络 地址
3 所有
目的IP
外部网络 地址
内部网络 地址
所有
协 议 源端口 目的端口 标志位 操作
TCP 任意 80
任意 允许
TCP 80
>1023 ACK 允许
所有 所有 所有
所有 拒绝
--
7
访问控制列表的配置有两种方式 • 严策略。接受受信任的IP包,拒绝其他所有的IP包。 • 宽策略。拒绝不受信任的IP包,接受其他所有的IP包。
--
11
谢谢(*^^*)
--
12
包过滤设备配置有一系列数据过滤规则,定义了什 么包可以通过防火墙,什么包必须丢弃。这些规则被称 为数据包过滤访问控制列表(ACL)。
--
6
下表所示的过滤规则样表包含以下内容: • 源IP地址、目标IP地址、源端口、目的端口 • 协议类型 • TCP包头标志位 • 对数据包的操作 • 数据流向
序号 源IP
主讲人:郑棋元
论 文:刘航
PPT: 刘丹晨
--
1
• 包过滤原理 • 包过滤规则表 • 包过滤技术优缺点分析
--
2
什么是包过滤技术?
包过滤是最早应用到防火墙当中的技术之一。 它针对网络数据包由信息头和数据信息两部分组成
这一特点而设计。 包过滤防火墙工作在网络层和传输层。
--
3
包过滤技术是对通过防火墙的数据包的首部信息进 行解析,根据事先定义的访问控制列表(ACL)规则决 定包的前行或被舍弃,以达到对数据包进行过滤。ACL 的出现就是配合防火墙的设计而被定义出来的。所以包 过滤防火墙的精华之处就在于ACL。包过滤既可作用在 入方向也可作用在出方向。
• 路由器信息包的吞吐量随过滤器数量的增加而 减少。
• 不能彻底防止地址欺骗。伪造IP地址很容易、 普遍。
--
10
缺点:
• 一些应用协议不适合于数据包过滤。即使是完 美的数据包过滤,也会发现一些协议不很适合 于经由数据包过滤安全保护。
• 一些包过滤路由器不提供任何日志能力,直到 闯入发生后,危险的封包才可能检测出来。它 可以阻止非法用户进入内部网络,但也不会告 诉我们究竟都有谁来过,或者谁从内部进入了 外部网络。
• 包过滤路由器对终端用户和应用程序是透明的 。当数据包过滤路由器决定让数据包通过时, 它与普通路由器没什么区别,甚至用户没有认 识到它的存在,因此不需要专门的用户培训或 在每主机上设置特别的软件。
--
9
缺点:
• 定义包过滤器需要网管员需要详细地了解 Internet各种服务、包头格式和他们在希望每 个域查找的特定的值。是一项很复杂的工作。
在实际应用中一般采用严策略来设置防火墙规则。 一般地,包过滤防火墙还应该阻止以下几种IP包进入内部 网 源地址是内部地址的外来数据包 指定中转路由器的数据包 有效载荷很小的数据包
--
8
优点:
• 一个过滤路由器能协助保护整个网络。绝大多 数Internet防火墙系统只用一个包过滤路由器;
• 过滤路由器速度快、效率高。
--
4
包过滤技术应用的关键问题是如何检查数据包,以 及检查到何种程度才能既保障安全又不会对通信速度产 生明显负面影响。从理论上讲,包过滤防火墙可以被配 置为根据协议报头的任何数据域进行分析过滤,但大多 数只是针对性的分析数据包信息头查模块将所有通过的数据包中发送方 IP地址、接收方的IP地址、TCP端口、TCP标志位等信 息读出,按照预先设置的过滤规则过滤数据包。只有满 足过滤规则的数据包才被转发,其余数据包则被丢弃。