中国科技大学薛开平网络安全协议chap资料.pptVIP

过滤规则举例 第一条规则：内部主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。 第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。 第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过（与1、2作为系列规则时该规则无效）。 组序号 动作 源IP 目的IP 源端口 目的端口 协议类型 1 允许 * * * TCP 2 允许 * 20 * TCP 3 禁止 * 20 1024 TCP 包过滤原理 安全网域 Host C Host D UDP Drop Host C Host B TCP Accept Host C Host A Destination Protocol Permit Source 数据包 数据包 数据包 数据包 查找对应的规则 拆开数据包 根据规则决定如何处理该数据包 防火墙规则 数据包 过滤依据主要是单个数据包TCP/IP报头里面的信息，不能对应用层数据进行处理 数据 TCP报头 IP报头 分组过滤判断信息 Host A 包过滤防火墙的设置(1) 从内往外访问telnet服务 往外包的特性(用户操作信息) IP源是内部地址 目标地址为server TCP协议，目标端口23 源端口1023 连接的第一个包ACK=0，其他包ACK=1 往内包的特性(显示信息) IP源是server 目标地址为内部地址 TCP协议，源端口23 目标端口1023 所有往内的包都是ACK=1 外部 内部 client server 包过滤防火墙的设置(2) 从外往内访问telnet服务 client server 内部 外部 往内包的特性(用户操作信息) IP源是外部地址 目标地址为本地server TCP协议，目标端口23 源端口1023 连接的第一个包ACK=0，其他包ACK=1 往外包的特性(显示信息) IP源是本地server 目标地址为外部地址 TCP协议，源端口23 目标端口1023 所有往外的包都是ACK=1 包过滤防火墙的设置(3) 规则 服务方向 包的方向 源地址 目的地址 协议 源端口 目的端口 是否通过 A 出 出 内部 外部 TCP 1023 23 允许 B 出 入 外部 内部 TCP 23 1023 允许 C 入 入 外部 内部 TCP 1023 23 允许 D 入 出 内部 外部 TCP 23 1023 允许 双向允许 规则 包的方向 源地址 目的地址 协议 源端口 目的端口 是否通过 A 出 内部 外部 TCP 1023 23 允许 B 入 外部 内部 TCP 23 1023 允许 C 双向 任意 任意 任意 任意 任意 拒绝 只允许出站 包过滤防火墙的设置(4) SMTP 例子 规则 包的方向 源地址 目的地址 协议 源端口 目的端口 是否通过 A 出 内部 外部 TCP 1023 25 允许 B 入 外部 内部 TCP 25 1023 允许 C 入 外部 内部 TCP 1023 25 允许 D 出 内部 外部 TCP 25 1023 允许 双向允许 ftp文件传输协议（主动模式） client ftp server 命令通道：21端口 数据通道：20端口 5151 5150 21 20 PORT 5151 OK 建立数据通道 OK ftp文件传输协议(被动模式) client ftp server 命令通道：21端口 数据通道：1023 5151 5150 21 20 PASV OK3267 建立数据通道 OK 3267 针对ftp的包过滤规则注意事项 建立一组复杂的规则集 是否允许正常模式的ftp数据通道？ 动态监视ftp通道发出的port命令 有一些动态包过滤防火墙可以做到 启示 纯粹的包过滤防火墙比较适合于单连接的服务(比如smtp, pop3)，不适合于多连接的服务(比如ftp) 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由（通常针对路由器的攻击） 对策：禁止 这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查 状态检测防火墙 包过滤防火墙局限性： 包过滤防火墙只通过简单的规则控制数据流的进出，没考虑高层的上下文信息 具有未授权用户可利用的漏洞 通过建立一个出网的TCP连接目录而加强TCP数据流的检测规则(连接记录) 报文过滤机制只允许那些和目录中某个连接匹配的数据流通过防火墙 源地址 源端口 目的地址 目的端口 连接状台 00 10