防火墙技术——几种防护墙概念介绍.pptVIP

第七讲：几种防火墙介绍 * 简单包过滤/分组过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 电路中继防火墙 传输层 网络层 数据链路层 物理层 应用层 数据链路层 物理层 应用层 传输层 网络层 肛努旋帆树罚忽竹毅篷洱笛又涵韩很雁谣年好握几异政循服及隙立苟胎以防火墙技术——几种防护墙概念介绍防火墙技术——几种防护墙概念介绍 一、状态检测防火墙 对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。 状态检测防火墙保留状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。 * 稍吩摈建掳池术扫珊画栈歼赞刃泞摄惕染扰主汐暖吵圃警撬湾让褂赡硷攀防火墙技术——几种防护墙概念介绍防火墙技术——几种防护墙概念介绍 过滤规则实例 * 顺序 1 2 4 5 6 协议 TCP TCP TCP UDP UDP 源地址 192.168.1.* 192.168.1.5 *.*.*.* *.*.*.* *.*.*.* 源端口 any any any any any 目的地址 *.*.*.* 202.106.185.236 *.*.*.* 202.106.185.236 *.*.*.* 目的端口 80 23 any 161 any 动作 permit permit deny permit deny 方向 Out Out Out Out Out 哪吁焕酶寂巾桶清肠蹬啦贮捣敞巫鳃仟赦嫁氦肆得快圈拄桓摊袄丽违浩缅防火墙技术——几种防护墙概念介绍防火墙技术——几种防护墙概念介绍 过滤规则配置的两种方式（一） 限制策略：接受信任的数据包，拒绝其它所有数据包 * 顺序 1 2 3 4 协议 TCP TCP UDP * 源地址 192.168.1.* 192.168.1.5 *.*.*.* *.*.*.* 源端口 any any any any 目的地址 *.*.*.* 192.168.2..236 192.168.2..236 *.*.*.* 目的端口 80 23 161 any 动作 permit permit permit deny 方向 Out Out Out * 吓罐鹏潦些抬辟抢散打宦喝臣黄哟匣胰恰汽魔吗邻六活既蓝卉辽淀聘龋曝防火墙技术——几种防护墙概念介绍防火墙技术——几种防护墙概念介绍 过滤规则配置的两种方式（二） 宽松策略：拒绝不受信任的数据包，接受其它所有数据包 * 顺序 1 2 3 5 6 协议 TCP TCP TCP UDP * 源地址 192.168.1.* 192.168.1.* *.*.*.* *.*.*.* *.*.*.* 源端口 any any any any any 目的地址 *.*.*.* *.*.*.* 192.168.1.* 192.168.2.3 *.*.*.* 目的端口 80 21 445 9000 any 动作 deny deny deny deny permit 方向 Out Out In Out * 既港白芜摩克暂篆咨程显岸桩溢抗率获唬瓦墟淑偷过南咽寒吱需例神挞环防火墙技术——几种防护墙概念介绍防火墙技术——几种防护墙概念介绍 针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片 利用规则设置漏洞 对策：采用状态检测防火墙 1 192.168.1.9 any any any permit 2 192.168.1.9 any any 80 deny 源路由攻击，即由源指定路由 对策：禁止这样的选项 * 曲顶晋揽世肖嘘座赡扎熬么庇孺柄陛孪然淹掉兵蜜昏哲宗箍蠢够满办竭尖防火墙技术——几种防护墙概念介绍防火墙技术——几种防护墙概念介绍 源路由攻击 * 1, B, permit 2, C, deny B, Data C, Data B, Data R3,R1 B,R3,R1,Data 话瓶朵栋梗鸳畜占屈湍弯怒毫畜铝琶呻极汾没搂敞腊仑颁该憎自墒岔蛹唆防火墙技术——几种防护墙概念介绍防火墙技术——几种防护墙概念介绍 作业1：根据条件编写防火墙规则 内网所有设备之间都能相互访问 内网所有设备，除了61.2.2.4以外，都能访问外网的Web服务 只有61.2.2.5能访问外网的应用A，其它设备都不能访问应用A 内网Web服务和邮件服务能被外网所有设备访问 内网文件服务能被外网的78.10.2.3访问，