[信息与通信]第11讲防火墙技术及其应用.pdf

2002-2003年度北京大学工程硕士研究生课程 网络与信息安全 网络与信息安全 第十一讲 第十一讲 防火墙技术及其应用 防火墙技术及其应用 王 昭 北京大学计算机系信息安全研究室 wangzhao@ 讨论议题 • TCP/IP基础 • 防火墙的基本概念与体系结构 • 防火墙相关技术 • Internet服务与防火墙配置 • 防火墙技术的发展 TCP/IP协议历史 • TCP/IP起源于20世纪70年代中期，ARPA资助 网间网技术的研究开发，并于1977~1979年间 推出了与目前形式一样的TCP/IP体系结构和协 议规范. • 1980年前后，TCP/IP应用在ARPANET上 • 1983年加州Berkeley大学推出了内含TCP/IP 的 BSD UNIX • 1985年NSF采用TCP/IP建设NSFNET • TCP/IP成为20世纪90年代因特网的主要协议 TCP/IP协议栈 应用层 SMTP HTTP TELNET DNS SNMP 传输层 TCP UDP 网络层 ICMP IP IGMP 网络接 ARP RARP 口层 ICMP协议 • ICMP(Internet Control Message Protocol)透过 IP层收发ICMP报文，ICMP报文用于报告在 传输报文的过程中发生的各种情况 IP报头 ICMP信息 ICMP数据包的封装 ICMP报文 • 一般格式 1 1 2 类型 代码 校验和 数据 报文类型域记录了报文的种类，例如目标不可 达，报文代码域记录了进一步的细节。 回应请求和回应应答报文 • 检测目的站的可达性与状态 • 主机或路由器向指定目的站发送ICMP ECHO请求报文， 请求报文包含一个可选的数据区； • 收到ECHO请求报文的机器应立即回应一个ECHO应答报 文，应答报文包含了请求报文中数据的拷贝 0 8 16 31 类型(8或0) 代码(0) 校验和 标识符 序号 可选数据 ICMP ECHO请求和应答报文 Ping程序 • Packet Internet Groper • 利用ICMP 的响应报文向目标主机发出响应请求,若主 机确有收到,则发出响应应答报文,若主机收到,则知道 网络连接正常. C:\ping Pinging [31] with 32 bytes of data: Reply from 31: bytes=32 time=351ms TTL=240 Reply from 31: bytes=32 time=350ms TTL=240 Reply from