计算机网络与信息安全课件-第7章 防火墙基础
计算机网络安全管理防火墙安全管理课件
根据云端用户行为和网络流量分析,动态调整安 全策略,实现更加精细化的安全控制和管理。
下一代防火墙技术的探索与展望
多层防御策略
结合多种安全技术,如入侵检测、内容过滤、数据加密等,构建多 层防御体系,提高防火墙的整体防护能力。
智能流量分析
利用大数据和机器学习技术,对网络流量进行深入分析,发现潜在 的安全威胁和异常行为,提供更加全面和准确的网络安全保障。
05
防火墙安全管理的挑战与解
决方案
安全漏洞与威胁
01
02
03
漏洞扫描
定期进行系统漏洞扫描, 发现潜在的安全风险和漏 洞。
威胁情报
建立威胁情报系统,实时 监测和预警潜在的网络威 胁。
漏洞修补
及时修补已知漏洞,降低 被攻击的风险。
安全审计与监控
安全审计
定期进行安全审计,检查 安全策略的执行情况。
日志监控
06
防火墙安全管理的未来展望
人工智能在防火墙安全管理中的应用
自动化威胁检测
利用人工智能技术,实时监测网络流量和行为,自动识别 和防御潜在威胁,提高防火墙的响应速度和准确性。
智能学习与自适应
通过机器学习和深度学习技术,防火墙能够不断学习和自 我优化,以适应不断变化的网络威胁和攻击模式。
零信任安全模型
防火墙技术的发展历程
总结词
随着网络安全威胁的不断演变,防火墙技术也在不断 发展,经历了从简单过滤到深度包检测等技术演进。
详细描述
最初的防火墙技术仅能进行简单的数据包过滤,根据 预设的规则对数据包进行过滤和拦截。随着网络攻击 的不断升级,简单的数据包过滤已经无法满足安全需 求,因此出现了深度包检测等技术,能够对数据包的 协议、内容等进行深入分析和检测,进一步提高网络 安全性。同时,随着云计算和虚拟化技术的发展,虚 拟化防火墙和云防火墙等新型防火墙技术也逐渐兴起 。
防火墙精品PPT课件
• 如果有匹配按规则执行,没有匹配,则按缺省策略
包过滤路由器
包过滤的实例(假设使用默认丢弃规则)
包过滤技术——简单包过滤
• 根据流经该设备的数据包地址信息决定是否允许该数据 包通过
• 判断依据(只考虑 IP 包) • 数据包协议类型 TCP、UDP、ICMP 等 • 源/目的 IP 地址 • 源/目的端口 • IP 选项:源路由等 • TCP 选项: SYN、ACK、FIN 等 • 其他协议选项 • 数据包流经网络接口ETH0、ETH1 • 数据包流向
往外包的特性(用户操作信息)
• IP源是内部地址 • 目标地址为 server • TCP协议,目标端口23 • 源端口>1023 • 连接的第一个包 ACK=0, 其他包ACK=1
往内包的特性(显示信息) • IP 源是 server • 目标地址为内部地址 • TCP协议,源端口23 • 目标端口>1023 • 所有往内的包都是 ACK=1
防火墙-经典安全模型
• 将网络中的主机、应用进程、用户等抽象为主体与对象;
• 数据包传递抽象为访问;
• 过滤规则抽象为授权数据库;防火墙进程抽象为参考监 视器;用户认证抽象为识别与验证;过滤日志、性能日 志等抽象为审计的结果。
防火墙
• 防火墙是位于两个或多个网络之间,执行访问控制策略的一个或 一组系统,是一类防范措施的总称
• 防火墙应满足的条件:
① 内部和外部之间的所有网络数据流必须经过防火 墙
② 只有符合安全政策的数据流才能通过防火墙 ③ 防火墙自身应对渗透(PENERATION)免疫
防火墙的访问控制能力
• 服务控制 • 确定哪些服务可以被访问
计算机网络与信息安全课件-第7章-防火墙基础
第七章防火墙技术防火墙的本义是指古代构筑和使用木制构造房屋的时候,为防止火灾的发生和蔓延,人们将巩固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙〞。
与防火墙一起起作用的就是“门〞。
如果没有门,各房间的人将无法沟通。
当火灾发生时,这些人还须从门逃离现场。
这个门就相当于我们这里所讲的防火墙的“平安策略〞,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小门的墙。
这些小门就是用来留给那些允许进展的通信,在这些小门中安装了过滤机制。
网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。
防火墙可以使企业内部局域网〔LAN〕网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防止发生不可预测的、潜在破坏性的侵入。
典型的防火墙具有以下三个方面的根本特性:〔1〕内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。
因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业内部网络不受侵害。
根据美国国家平安局制定的?信息保障技术框架?,防火墙适用于用户网络系统的边界,属于用户网络边界的平安保护设备。
所谓网络边界即是采用不同平安策略的两个网络的连接处,比方用户网络和Internet之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个平安控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的效劳和访问的审计和控制。
〔2〕只有符合平安策略的数据流才能通过防火墙防火墙最根本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。
从最早的防火墙模型开场谈起,原始的防火墙是一台“双穴主机〞,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络流量通过相应的网络接口接收上来,按照协议栈的层次构造顺序上传,在适当的协议层进展访问规那么和平安审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文那么予以阻断。
防火墙PPT
13
ISA标准版的无人值守安装 标准版的无人值守安装
创建答案文件
1. 无人值守答案文件示例 2.将光盘中的msisaund.ini复制到C:\,然后对文件中的内容进行修改 3. 调用答案文件
14
ISA标准版的无人值守安装 标准版的无人值守安装
安装完毕后,打开ISA2006管理器,如下图所示,安装 已经顺利完成.
8
ISA标准版安装步骤 标准版安装步骤
在Beijing上放入ISA2006的安装光盘,如下图所示,启动ISA2006的安装 程序,点击"安装ISA Server 2006". 出现ISA2006的安装向导,选择"下一步". 同意软件许可协议,选择下一步. 输入用户名,单位及序列号等参数后,来到安装类型界面,如下图所示, 选择自定义安装.
ISA SERVER 2006就是一款很强大的应用层防火墙
5
ISA2006简介 简介
ISA2006(Internet Security and Acceleration)是 微软公司推出的一款重量级的网络安全产品, 被公认为X86架构下最优秀的企业级路由软件 防火墙. ISA凭借其灵活的多网络支持,易于使用且高 度集成的VPN配置,可扩展的用户身份验证模 型,深层次的HTTP过滤功能,经过改善的管 理功能,在企业中有着广泛的应用.
11
ISA标准版安装步骤 标准版安装步骤
完成了参数设置,终于开始安装了. 点击"完成",结束了ISA2006的常规安装.
12Βιβλιοθήκη ISA标准版的无人值守安装 标准版的无人值守安装
实现ISA2006的无人值守需要注意两点: 的无人值守需要注意两点: 实现 的无人值守需要注意两点
信息系统安全课件《防火墙技术》
默认丢弃 默认允许转发
12
包过滤规则举例一
处理 阻塞
内部主机 *
端口 *
外部主机 *
端口 *
说明 默认丢弃
处理 内部主机 端口 外部主机 端口
说明
通过
*
*
*
*
默认转发
13
包过滤规则举例二
处理
内部主机 端口 外部主机
阻塞
*
*
A
通过
B
25
*
端口
说明
*
禁止外部主机
A与内网通讯
5
用户需要怎么样的防火墙?
在安全性方面要求固若金汤 在时效性方面要求实时响应 在可用性方面要求稳定运行 在可控性方面做到精确管理 在可扩性方面做到按需分配
6
防火墙的具体功能
1、包过滤 包过滤是防火墙所要实现的最基本功能,现在的防火墙已经由最 初的地址、端口判定控制,发展到判断通信报文协议头的各部分, 以及通信协议的应用层命令、内容、用户认证、用户规则甚至状 态检测等。要求能做到 防病毒扫描、提供内容过滤、能防御DoS 攻击、阻止 ActiveX、Java、Cookies、Javascript侵入。
6、MAC与IP地址的绑定
MAC与IP地址绑定起来,主要用于防止受控(不可访问外 网)的内部用户通过更换IP地址访问外网,该功能不是必需 的。
8
防火墙的具体功能
7、流量控制和统计分析、流量计费
流量控制可分为基于IP地址的控制和基于用户的控制。
8、VPN
构建不在同一地方的虚拟专用网,以前VPN是单独实现的。
34
防火墙常见体系结构三: 屏蔽主机防火墙(双宿堡垒主机)
《防火墙技术介绍》课件
02 03
详细描述
在路由模式下,防火墙位于网络的核心位置,负责根据预设的安全规则 对经过的数据包进行筛选和过滤。这种部署方式能够提供对整个网络的 保护,确保数据传输的安全性。
适用场景
适用于大型企业或数据中心,需要对整个网络进行全面保护的场景。
网关模式部署
总结词
通过将防火墙部署在网络网关处,实现对进出网络的数据 包进行安全检查和控制。
详细描述
在网关模式下,防火墙位于网络的入口和出口处,对所有 进出网络的数据包进行安全检查和控制。这种部署方式能 够有效地防止外部攻击和恶意软件的入侵。
适用场景
适用于需要对网络进行全面保护,特别是防止外部攻击的 场景,如企业或组织的内部网络。
透明模式部署
总结词
通过将防火墙设置为透明模式,可以在不改变现有网络结构的情况下实现数据包过滤和安 全控制。
防火墙的配置策略
访问控制策略
根据企业的安全需求,制定合理的访问控制 策略,控制网络访问权限。
日志与监控策略
配置防火墙的日志记录和监控功能,以便及 时发现和处理安全事件。
流量控制策略
根据网络带宽和业务需求,合理分配网络流 量,确保关键业务的正常运行。
升级与漏洞修复策略
定期更新防火墙的软件版本,修复已知漏洞 ,提高系统的安全性。
02
应用代理技术可以实现对应用层的过滤和控制,能够更好地保护内部网络的安 全。
03
应用代理技术需要针对不同的应用协议进行定制开发,因此实现起来相对复杂 ,且可能存在性能瓶颈。
有状态检测
有状态检测技术是指防火墙能够跟踪通过的数据包,并建 立起连接状态表,根据连接状态表对后续的数据包进行检 查,从而判断是否允许数据包通过。
计算机网络安全基础-防火墙基础课件
192.168.200.100
PC
PC
192.168.200.1 192.168.200.2
计算机网络安全基础-防火墙基础
21
内容过滤
• 阻止 Java, ActiveX, JavaScript VBscript
• URL 记录和拦截 • SMTP 过滤
– 丢弃假来源地址的信件 – 可设定传送信件的大小 – 可消除内部信件传递路径信息,避免
计算机网络安全基础-防火墙基础
29
包过滤防火墙
• 包过滤防火墙使得防火墙能够根据特定的服务允 许或拒绝流动的数据,因为多数的服务收听者都 在已知的TCP/UDP端口号上。例如,Telnet服务器 在TCP的23号端口上监听远地连接,而SMTP服务 器在TCP的25号端口上监听人连接。为了阻塞所 有进入的Telnet连接,防火墙只需简单的丢弃所有 TCP端口号等于23的数据包。为了将进来的Telnet 连接限制到内部的数台机器上,防火墙必须拒绝 所有TCP端口号等于23并且目标IP地址不等于允许 主机的IP地址的数据包。
计算机网络安全基础-防火墙基础
7
防火墙的概念(4)
• 在逻辑上,防火墙是分离器,限制器,也是一个分析 器,有效地监控了内部网和外部网之间的任何活动, 保证了内部网络的安全。
• 在物理上,防火墙通常是一组硬件设备——路由器、 主计算机,或者是路由器、计算机和配有软件的网络 的组合。
防火墙技术基本概念ppt课件
日志的管理
10
2. 防火墙的基本功能
远程管理:
管理界面一般完成对防火墙的配置、管理和监控工作。 管理界面的设计直接关系到防火墙的易用性和安全性。 目前防火墙主要有两种远程管理界面:WEB界面和
6
1. 防火墙的相关概念
7
2. 防火墙的基本功能
路由
统一管理
静态路由
SNMP
策略路由
RMON
RIP OSPF BGP 交换 GE\FE
TELNET/SSL/h ttpS
FTP/TFTP SYSLOG
安全
VLAN
ACL
NAT
VPN
5
1. 防火墙的相关概念
与防火墙相关的几个常用概念:
外部网络(外网):防火墙之外的网络,一般为 internet,默认为风险区域;
内部网络(内网):防火墙之内的网络,一般为局域 网,默认为安全区域;
非军事化区(DMZ):为了配置管理方便,内网中需 要向外网提供服务的服务器,如WWW、FTP、 SMTP、DNS等,往往放在internet与内部网络之间 一个单独的网段,这个网段便是非军事化区。
12
2. 防火墙的基本功能
带宽限速:不同用户在网络中使用的网络带宽不一 致,有些用户在网络应用中使用一些比较抢占带宽 的软件,导致其他用户不能正常访问网络资源;对 不同的用户进行不同的带宽限速控制,可以有效的 利用网络带宽资源。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第七章防火墙技术防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。
与防火墙一起起作用的就是“门”。
如果没有门,各房间的人将无法沟通。
当火灾发生时,这些人还须从门逃离现场。
这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小门的墙。
这些小门就是用来留给那些允许进行的通信,在这些小门中安装了过滤机制。
网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。
防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防止发生不可预测的、潜在破坏性的侵入。
典型的防火墙具有以下三个方面的基本特性:(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。
因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。
所谓网络边界即是采用不同安全策略的两个网络的连接处,比如用户网络和Internet之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
(2)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。
从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络流量通过相应的网络接口接收上来,按照协议栈的层次结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
(3)防火墙自身应具有非常强的抗攻击能力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵的能力。
其中防火墙操作系统本身的安全性是关键。
其次就是防火墙自身具有非常少的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统以来,防火墙技术得到了飞速的发展。
目前有几十家公司推出了功能不同的防火墙系统。
第一代防火墙,又称包过滤防火墙,主要通过对数据包源地址、目的地址、端口号等参数的检查来决定是否允许该数据包通过,对其进行转发,但这种防火墙很难抵御IP地址欺骗等攻击,而且审计功能很差。
第二代防火墙,也称代理服务器,它可提供对网络服务层的控制,在外部网络向被保护的内部网络申请服务时充当代理的作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。
第三代防火墙有效地提高了防火墙的安全性,称为状态监控功能防火墙,它可以对每一层的数据包进行检测和监控。
随着网络攻击手段和信息安全技术的发展,新一代的功能更加强大、安全性更好的防火墙已经问世,这个阶段的防火墙已超出了传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,可称之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
实际上,这种防火墙具有很多的IDS功能。
IDS与防火墙的相互配合使用,VPN和防火墙的相互配合使用将能提供更全面的安全性,也是防火墙发展的趋势。
7.1 防火墙功能及分类7. 1.1 防火墙的功能防火墙是网络安全的第一道防线。
防火墙在一个机构的私有网络和外部网络间建立一个检查点。
这种实现要求所有的流量都要通过这个检查点。
一旦这些检查点清楚地建立,防火墙设备就可以监视、过滤所有流入和流出的网络流量。
只有经过精心选择的数据包才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中式安全管理在经济性方面占优势。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
防火墙可以对网络存取和访问进行监控审计。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并记录在日志中,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙还能进行适当的报警,并提供网络是否受到监听和攻击的详细信息;另外,收集一个网络的使用和误用情况也是非常重要的。
首先可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防火墙可以防止内部信息的外泄。
防火墙在内部网络周围创建了一个保护的边界。
并且对于公网隐藏了内部系统的信息。
当远程节点侦测内部网络时,他们仅仅能看到防火墙。
内部细节如Finger,DNS等服务被很好地隐蔽起来。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
Finger所显示的信息非常容易被攻击者所获悉并利用。
通过Finger攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙同样可阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
另外,利用防火墙对内部网络的划分,可实现对内部网的重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
除了安全作用,防火墙还可以支持虚拟专用网(VPN)。
通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,通过Internet有机地联成一个整体。
不必使用昂贵的专用通信线路,而且通过使用IPsec等通信安全协议可保证信息在Internet上传递时的安全性。
7.1.2 防火墙的分类防火墙有许多种形式,有以软件形式运行在普通计算机上的,也有以固件形式设置在路由器之中的。
按照不同的角度可对防火墙做出不同的分类。
7.1.2.1 按照软硬件功能分配分类软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
常用的“个人防火墙”也属于这类。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
软件防火墙中具有代表性的产品是Checkpoint。
硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上"所谓"二字是针对芯片级防火墙来说的。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有Unix、Linux和FreeBSD系统。
值得注意的是,此类防火墙采用的是别人的内核,因此依然会受到操作系统本身的安全性影响。
芯片级防火墙芯片级防火墙基于专门的硬件平台。
专有的ASIC芯片使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。
这类防火墙采用固化于硬件的专用操作系统,防火墙本身的漏洞比较少,不过价格相对比较高昂。
7.1.2.2 按照检查协议深度分类包(packet)是网络上信息流动的单位,在网上传输的文件一般在发送端被划分成一系列包,经过网络上的中间站点转发,最终到达目的地,然后这些包中的数据又重新组成原来的信息。
每个包包括两部分:数据部分和包头,包头中含有源地址和目的地址等信息。
防火墙按照其分析网络包的协议深度可分为三种:包过滤防火墙、应用级网关和状态检测防火墙。
包过滤防火墙包过滤通过拦截数据包,检查包头,过滤掉不应转发的信息,放行合法数据包。
包过滤器又称为筛选路由器,它通过将包头信息和管理员设定的规则表比较,如果有一条规则不允许发送某个包,路由器将它丢弃。
规则表又称为访问控制表(Access Control Table)。
包过滤规则一般基于网络层之上的部分的或全部的包头信息,例如对于TCP包头信息为:1.IP协议类型2.IP源地址3.IP目的地址4.IP选择域的内容5.TCP源端口号6.TCP目的端口号7.TCP ACK标识。
另外,TCP的序列号、确认号,IP校验和、分片偏移也往往是要检查的内容。
这类防火墙几乎是与路由器同时产生的。
防火墙常常就是一个具备包过滤功能的简单路由器,包过滤是路由器的固有功能。
包过滤方式是一种通用、廉价和有效的安全手段。
之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能在很大程度上满足绝大多数企业安全要求。
包过滤对于拒绝一些TCP或UDP应用程序的IP地址进入或离开你的网络是很有效的。
举个例子,如果想禁止从Internet TELNET到你的内部网络设备中,你需要建立一条包过滤规则。
如果在包过滤防火墙的默认是允许所有都可访问,则一条禁止TELNET的包过滤规则如表7-1所示。
表7-1 包过滤规则上表列出的信息告诉路由器丢弃所有从TCP 23端口出去和进来的数据包。
星号说明是该字段里的任何值。
在上面的例子中,如果一个数据包通过这条规则时,若源端口为23,那么它将立刻被丢弃。
如果一个数据包通过这条规则时,若目的端口为23时,则当规则中的第二条应用时它会被丢弃。
所有其它的数据包都允许通过。