第 7 章 防墙.pptVIP

7.4　防火墙的主要应用 7.4.1　防火墙的工作模式 IP地址过滤原理图 TCP/IP数据包发送过程 服务器TCP/UDP 端口过滤 客户机TCP/UDP端口过滤 双向过滤原理图 检查ACK位 1.FTP带来的困难 通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。 2.UDP端口过滤 UDP包没有ACK位，所以不能进行ACK位过滤，UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。 7.4.2　防火墙的配置规则 防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。 （1）Dual-homed方式 此种方式最简单，D