09防火墙.ppt

什么是防火墙(Firewall) ？ 一、防火墙的用途 二、好的防火墙系统 三、防火墙的优点 四、防火墙的局限性 五、防火墙的特点 五、防火墙的特点 1、服务访问政策 2、防火墙设计政策 六、防火墙的体系结构 1.屏蔽路由器（Screened Router） 包过滤路由器： 路由 + 过滤 这是最简单的防火墙。 缺点： 日志没有或很少，难以判断是否被入侵 规则表会随着应用变得很复杂 单一的部件保护，脆弱 2.双宿主机网关 3.屏蔽主机防火墙 屏蔽主机体系结构 4.屏蔽子网体系结构 屏蔽子网体系结构 内部防火墙问题 复合型防火墙 包过滤技术 包过滤技术的原理 IPv4 ICMP报文 TCP头部 UDP头部 包过滤的依据 依赖于服务的过滤 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别，因为独立于服务。要防止这类攻击，需要在过滤规则中考虑其它信息，如：路由表、特定的IP选项、特定的片段偏移等。不依赖于服务的攻击有三类： 1）源IP地址欺骗攻击 入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。 推荐的过滤规则 任何进入内网的数据包不能将内部地址作为源地址 任何进入内网的数据包必须将内部地址