第5章访问控制与防火墙概述.ppt

第5章 访问控制与防火墙 本章概要 课程目标 5.1 网络防火墙的基本概念 防火墙的主要技术 应用层代理技术 (Application Proxy) 包过滤技术 (Packet Filtering) 状态包过滤技术 (Stateful Packet Filtering) 5.2.1 包过滤技术 包过滤技术的基本概念 包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。 包过滤技术 包过滤技术是防火墙最常用的技术。对一个充满危险的网络，这种方法可以阻塞某些主机或网络连入内部网络，也可以限制内部人员对一些危险和色情站点的访问。 包过滤的优点和不足 只能阻止一种类型的地址欺骗，即外部主机伪装内部主机的IP，而对外部主机伪装其他外部主机的IP却不能阻止，另外不能防止DNS欺骗； 如果外部用户被允许访问内部主机，则他就可以直接访问内部网络上的任何主机。 5.2.2状态包检测技术 b.高效性：一方面，通过防火墙的数据包都在协议栈的较低层处理，减少了高层协议栈的开销；另一方面，由于不需要对每个数据包进行规则检查，从而使得性能得到了较大提高。