信息系统安全工程防火墙软件概论.pptx

《信息系统安全工程》之防火墙;一、防火墙概述;防火墙概述（续）;防火墙的设计目标;防火墙的功能;防火墙的边界保护机制;防火墙面临的潜在的攻击;拒绝服务攻击的方式;防火墙的局限性;防火墙的分类;防火墙的访问效率和安全需求;防火墙的主要性能指标;防火墙的主要性能指标（续）;二、防火墙技术;1、包过滤技术;包过滤技术（续）;包过滤技术示意图;包过滤的依据;IP数据包格式;基于IP的数据包过滤;基于IP的数据包过滤（续）;基于IP的数据包过滤（续）;基于IP的数据包过滤（续）;TCP数据包格式;基于TCP的数据包过滤;TCP连接的3次握手过程;基于UDP的数据包过滤;基于ICMP的数据包过滤;包过滤规则的制定策略;按IP地址过滤;按服务过滤;按服务过滤（续）;网络协议的双向性对包过滤规则制定的影响;在内部到外部的TCP和UDP连接中，内部主机采用的源端口一般是大于1024的随机端口（如下图） 为了支持双向通信，需要允许返回到内部主机的所有大于1024端口的数据包，这是非常危险的。 对于TCP连接：可以通过TCP协议的flag位来辨认从外部到内部的数据包是连接请求还是响应报文 如果是连接请求则拒绝，响应报文（flag中的Ack置位）则放行，从而可以阻止对高于1024端口的非法连接。 而UDP是无连接的协议，没有标准可以区分，只能通过端口号，但是端口号是可以伪造的 如果返回的数据包不是到内部