016-ch12 防火墙.ppt

小结 本章重点介绍各种常见的防火墙技术，包括它们所能提供的安全特性和优缺点。 在应用防火墙是，防火墙的部署非常重要。一个部署不当或配置不当的防火墙不仅不能提供安全性，还会给网络管理员和用户造成安全上的错觉。 动态包过滤 动态包过滤是Check Point的一项称为“Stateful Inspection”的专利技术，也称状态检测防火墙 。 动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据，还根据这个数据包在信息流位置加以判断。 动态包过滤防火墙可阻止未经内网请求的外部通信，而允许内网请求的外部网站传入的通信 。 动态包过滤防火墙 使用动态包过滤制定的规则 Set internal=/24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow $internal access any dns by udp keep state Allow $Internal acess any www by tcp keep state Allow $internal access any ftp by tcp keep state Deny ip from any to any 动态包过滤的优缺点 优点： 基于应用程序信息验证一个包状态的能力 记录通过的