9防火墙技术综述.ppt

9.4 防火墙的主要技术 9.4.1 数据包过滤技术 数据包过滤技术是在网络中的适当位置对数据包实施有选择的通过的技术。 图9.18 包过滤模型 包过滤一般要检查下面几项： （1）IP源地址； （2）IP目的地址； （3）协议类型（TCP包、UDP包和ICMP包）； （4）TCP或UDP的源端口； （5）TCP或UDP的目的端口； （6）ICMP消息类型； （7）TCP报头中的ACK位。 另外，TCP的序列号、确认号，IP校验以及分段偏移也往往是要检查的选项。 2．数据包过滤特性 （1）IP包过滤特性 （2）TCP包过滤特性 （3）UDP包的过滤特性 （4）ICMP包的过滤特性 图9.21 UDP动态数据包过滤 在决定包过滤防火墙是否返回ICMP错误代码时，应考虑以下几点。 ① 防火墙应该发送什么消息。 ② 是否负担得起生成和返回错误代码的高额费用。 ③ 返回错误代码能使得侵袭者得到很多有关你发送的数据包过滤信息。 ④ 什么错误代码对你的网站有意义。 （5）RPC服务中的包过滤的特点 图9.22 RPC的端口映射 （6）源端口过滤的作用 表9.1 过滤规则示例 规 则 方 向 源 地 址 目的地址 协 议 源 端 口 目的端口 动 作 A 入 任意 172.46.23.45 TCP /