13-7iptcp封包過濾(二).pptVIP

第十三章 防火牆 13-1 私有網路安全簡介 13-2 防火牆簡介 13-3 防火牆元件 13-4 防火牆架構 13-5 封包過濾器 13-6 IP 封包過濾器 13-7 IP/TCP 封包過濾器 13-8 IP/UDP 封包過濾器 13-9 IP/ICMP 封包過濾器 13-10 代理系統簡介 13-11 代理伺服的方向性 13-12 代理伺服的功能性 13-13 網路位址轉譯 13-1 私有網路安全簡介 網路型態 公眾網路 (Public Network) 網路服務提供者 (Network Service Provider, NSP) WAN 網路 網際網路服務提供者 (Internet Service Provider, ISP) MAN 網路 私有網路 (Private Network) 公司或單位內私有網路 LAN 網路 私有網路安全 防火牆 (Firewall) 『點』的安全考量 虛擬私有網路 (Virtual Private Network) 『線』的安全考量 13-2 防火牆簡介 (一) 何謂防火牆 ? 如城牆管制人民進出 依安全政策而定 防火牆功能 封包過濾 (Packet Filter) 代理機制 (Proxy) 應用階層閘門 (Application Level Gateway) 電路層次閘門 (Circuit Level Gateway) 網路位址轉譯 (Network Address Translation, NAT) 13-2 防火牆簡介 (二) 防火牆協定堆疊 13-3 防火牆元件 雙介面主機 (Dual-homed Host) 路由器、網路閘門、防禦主機 防禦主機 (Bastion Host) 封包進出管制 封包 (Packet) 防火牆進出單位 屏蔽路由器 (Screening Router) 外部路由器 內部路由器 周圍網路 (Perimeter Network) DMZ (De-Militarized Zone) 13-4 防火牆架構 (一) 防火牆的基本架構 雙介面主機架構 屏蔽主機架構 屏蔽網路架構 雙介面主機架構 SOCKS 或 ISA 2000 13-4 防火牆架構 (二) 屏蔽主機架構 屏蔽路由器 防禦主機 13-4 防火牆架構 (三) 屏蔽網路架構 外部路由器 防禦主機 內部路由器 DMZ 網路 13-4 防火牆架構 (四) 多層防火牆架構 安全等級分類網路 13-5 封包過濾器 封包過濾器 ?IP 封包過濾器 IP/TCP 封包過濾器 IP/UDP 封包過濾器 IP/ICMP 封包過濾器 封包過濾器應注意事項 關閉路由功能 關閉閒置的埠口 關閉不需要的服務 協定是雙向的 進入 (Inbound) 和出去 (Outbound) 的方向性 內定值為拒絕 封包過濾設定步驟 關閉所有封包過濾 選擇欲開放的應用協定 選擇欲拆解的封包標頭 列出『封包訊息表』 尋找出『過濾規則表』 建立封包過濾規則 iptable ISA 2000 13-6 IP 封包過濾 (一) IP 封包過濾訊息 來源位址 (Source Address, SA) 目的位址 (Destination Address, DA) 協定 (Protocol, Pro) 13-6 IP 封包過濾 (二) 範例 允許 /16 進入內部網路 內部網路可任意通往外部網路 封包過濾規則 13-7 IP/TCP 封包過濾 (一) IP/TCP 封包過濾訊息 來源位址 (SA) 目的位址 (DA) 協定型態 (Pro) 來源埠口 (SP)：1024 以前為系統專屬 目的埠口 (DP)：1024 以前為系統專屬 位元碼 (Code bit) ACK (Acknowledge) SYN (Synchronous) 13-7 IP/TCP 封包過濾 (二) Telnet 連線範例 (1) 內部可 Telnet 連線到外部網路 不允許外部網路以 Telnet 連線到內部網路 封包訊息表 13-7 IP/TCP 封包過濾 (三) Telnet 連線範例 (2) 封包訊息表 允許內外部 Telnet 連線，無採用 ACK 訊號 (1) 封包過濾表 13-7 IP/TCP 封包過濾 (四) Telnet 連線範例 (3) 允許內外部 Telnet 連線，無採用 ACK 訊號 (2) TCP 6000 漏洞 新增封包過濾規則 13-7 IP/TCP 封包過濾 (五) Telnet 連線範例 (3) 允許 Telnet 連線，但採用 ACK 訊號