防火墙技术-几种防护墙概念介绍.ppt

第七讲：几种防火墙介绍 * 简单包过滤/分组过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 电路中继防火墙 传输层 网络层 数据链路层 物理层 应用层 数据链路层 物理层 应用层 传输层 网络层 一、状态检测防火墙 对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。 状态检测防火墙保留状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。 * 过滤规则实例 * 顺序 协议 源地址 源端口 目的地址 目的端口 动作 方向 1 TCP 192.168.1.* any *.*.*.* 80 permit Out 2 TCP 192.168.1.5 any 202.106.185.236 23 permit Out 4 TCP *.*.*.* any *.*.*.* any deny Out 5 UDP *.*.*.* any 202.106.185.236 161 permit Out 6 UDP *.*.*.* any *.*.*.* any deny Out 过滤规则配置的两种方式（一） 限制策略：接受信任的数据包，拒绝其它所有数据包 * 顺序 协议 源地址 源端口 目的地址 目的端口 动作 方向 1 TCP 192.168.1.* any *.*.*.* 80 permit Out 2 TCP 192.168.1.5 any 192.168.2..236 23 permit Out 3 UDP *.*.*.* any 192.168.2..236 161 permit Out 4 * *.*.*.* any *.*.*.* any deny * 过滤规则配置的两种方式（二） 宽松策略：拒绝不受信任的数据包，接受其它所有数据包 * 顺序 协议 源地址 源端口 目的地址 目的端口 动作 方向 1 TCP 192.168.1.* any *.*.*.* 80 deny Out 2 TCP 192.168.1.* any *.*.*.* 21 deny Out 3 TCP *.*.*.* any 192.168.1.* 445 deny In 5 UDP *.*.*.* any 192.168.2.3 9000 deny Out 6 * *.*.*.* any *.*.*.* any permit * 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片 利用规则设置漏洞 对策：采用状态检测防火墙 1 192.168.1.9 any any any permit 2 192.168.1.9 any any 80 deny 源路由攻击，即由源指定路由 对策：禁止这样的选项 * 源路由攻击 * 1, B, permit 2, C, deny B, Data C, Data B, Data R3,R1 B,R3,R1,Data 作业1：根据条件编写防火墙规则 内网所有设备之间都能相互访问 内网所有设备，除了61.2.2.4以外，都能访问外网的Web服务 只有61.2.2.5能访问外网的应用A，其它设备都不能访问应用A 内网Web服务和邮件服务能被外网所有设备访问 内网文件服务能被外网的78.10.2.3访问，其它网外设备不能访问 其它访问被禁止 * 内网 外网 作业1：要求 11月6日前通过邮件递交(jliao@fudan.edu.cn) Word文件，文件名：学号-作业1.doc 按以下格式编写规则： * 顺序 方向 In/out/* 协议 TCP/UDP/* 源地址 源端口 目的地址 目的端口 动作 Permit/deny 1 2 3 4 5 第七讲：几种防火墙介绍 * 简单包过滤/分组过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 电路中继防火墙 传输层 网络层 数据链路层 物理层 应用层 数据链路层 物理层 应用层 传输层 网络层 二、应用代理防火墙 也称为应用层网关 特点 所有的内外网之间的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视数据包的应用层内容 可以实现基于用户的认证，防止IP欺骗 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大 * 应用代理防火墙技术介绍 优点： 安全性高 提供应用层的安全 * 缺点： 性能差 伸缩性差 只支持有