防火墙技术-包 过滤防火墙.pptVIP

如何过滤？ * 对于每个进来的数据包，适用一组规则，然后决定转发或者丢弃该包 过滤的规则以网络层和传输层为基础，包括源和目标IP地址、协议类型、源和目标端口号 过滤器往往建立一组规则，根据IP数据包是否匹配规则中指定的条件来作出决定 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 过滤依据 * 协议类型：TCP、UDP、ICMP等 源IP地址、目的IP地址 源端口、目的端口：FTP(21)、HTTP(80) 等 数据包流向：in或out IP选项： 源路由选项等 TCP选项：SYN、ACK、FIN、RST等 数据包流经网络接口：eth0、eth1等 包过滤防火墙工作协议 * 应用层 传输层 网络层 数据链路层 物理层 物理层 数据链路层 网络层 应用层 传输层 网络层 数据链路层 物理层 外部网络主机 内部网络主机 包过滤型防火墙 IP TCP 传输层 过滤规则设置 * 方向 类型 源地址 目的地址 源端口 目的端口 动作 inside tcp * any 21 permit inside tcp * any 80 permit inside udp any 161 permit * * * * * * deny 优点 不用改动客户机和主机上的应用程序 创建一个可以有效监控数据包的单独控制点 性能和效率较高 实现简单，易于配置 支