防火墙配置.pptVIP

防火墙的安全规则 防火墙规则设置中所涉及的动作 允许：允许数据包通过防火墙传输，并按照路由表中的信息被转发 放弃：不允许数据包通过防火墙传输，但仅丢弃，不发送任何相应数据包 拒绝：不允许数据包通过防火墙传输，并向数据包的源端发送目的主机不可达的ICMP包 返回：没有发现匹配的规则，执行默认动作 默认拒绝：只允许指定的数据包，其他一切禁止 默认许可：只禁止指定的数据包，其他一切允许 包过滤防火墙的两类过滤规则 按地址过滤 用户拒绝伪造的数据包。 规则号 方向 源地址 目的地址 动作 n 入 内部 任意 拒绝 按服务类型过滤 按数据包的服务端口号进行过滤。 TCP协议中，协议是双向的，以Telnet为例，其中包的交换也是双向的。 由Client向远程Telnet发动源端口大于1023、目的端口为23的IP包；Telnet服务器接到请求后，即回送一个相应的ACK包，在ACK包中的端口号是23，目的端口号是大于1023的，所以包过滤规则应该这样设置： 规则号 方向 协议 源地址 目的地址 源端口 目的端口 动作 1 出 TCP 内部 任意 23 1023 允许 2 入 TCP 任意 内部 1023 23 允许 例。制定屏蔽子网防火墙的规则 假设外部包过滤路由器的外部IP地址为，内部IP地址为； 内部包过滤路由器的外部IP地址为，内部IP地址为； DMZ中的WEB服务器IP为；SMT