防火墙体系结构技术剖析.ppt

3. 防火墙体系结构 包过滤型防火墙(Package Filtering Firewall) 双宿/多宿主机防火墙(Dual-Homed/Multi-Homed Host Firewall) 屏蔽主机防火墙(Screened Host Firewall) 屏蔽子网防火墙(Screened Subnet Firewall) 其它防火墙结构 3.1 包过滤型防火墙 包过滤型防火墙，往往可以用一台过滤路由器(Screened Router)来实现，对所接收的每个数据包做允许/拒绝的决定 包过滤型防火墙一般作用在网络层，故也称网络层防火墙或IP过滤器 3.1 包过滤型防火墙 3.1 包过滤型防火墙 路由器审查每个数据包，确定其是否与某一条包过滤规则匹配 过滤规则基于可以提供给IP转发过程的包头信息，包头信息中包括： 源IP地址、目标IP地址 协议类型(TCP、UDP、ICMP等等) TCP/UDP源端口、目标端口 ICMP消息类型 TCP包头中的ACK位等 3.1 包过滤型防火墙 对到达包过滤防火墙的数据包： 规则允许该数据包通过，那么该数据包就会按照路由表中的信息被转发 规则拒绝该数据包，那么该数据包就会被丢弃 如果没有匹配规则，根据系统的设计策略(缺省禁止/缺省允许)决定是转发还是丢弃数据包 3.1 包过滤型防火墙 举例： 阻塞所有进入的Telnet连接 路由器只需简单地丢弃所有