原创力文档* 防火墙主要技术 包过滤技术 代理服务技术 状态检测技术 地址翻译技术 * 包过滤基本原理 5 4 3 2 1 5 4 3 2 1 计算机 1 AP2 AP1 计算机 2 tcp pdu 应 用 程 序 数 据 ip 只检查报头 方向 源IP 源端口 目的IP 目的端口 协议 动作 in any any www_ip 80 udp/tcp Permit in 外部 any Dns_ip 53 udp/tcp Permit in 内部 any Dns_ip 53 udp/tcp Permit 查找安全策略决定转发还是丢弃 * 两类包过滤 ⑴ 按地址过滤 包过滤路由器检查包头的地址信息,与过滤规则进行匹配,决定是否转发该数据包 ⑵ 按服务过滤 根据安全策略决定允许或拒绝某种服务
比如:禁止外部主机访问内部的DNS服务器,端口号53 * 如基于IP地址和服务设置ACL 方向 源IP 源端口 目的IP 目的端口 协议 动作 备注 in 内部ip any any any udp/tcp Deny 防止IP欺骗 in any any www_ip 80 udp/tcp Permit 允许WWW in any any Mail_ip 25 Tcp Permit 允许Mail服务 in any any Dns_ip 53 udp/tcp Permit 允许DNS服务 in any any
文档评论(0)