运行防火墙配置向导.ppt

第8讲 防火墙（二） 包过滤防火墙的安全规则设置位置 防火墙规则设置中所涉及的动作主要有以下几种： 允许: 允许数据包通过防火墙传输，并按照路由表中的信息被转发。 放弃: 不允许数据包通过防火墙传输，但仅丢弃，不发任何相应数据包。 拒绝: 不允许数据包通过防火墙传输，并向数据包的源端发送目的主机不可达的ICMP数据包。 返回: 没有发现匹配的规则，执行默认动作。 所有的防火墙都是在以下两种模式下配置安全规则： “白名单”模式 系统默认为拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型，因此白名单上的规则是具有合法性访问的安全规则 “黑名单”模式 系统默认为允许所有的流量，这种情况需要特殊指定要拒绝的流量的类型，因此在黑名单上定义的安全规则属于非法的、被禁止的网络访问，这种模式是一种开放的默认管理模式。 1.包过滤防火墙规则示例（1） 包过滤防火墙一般有两类过滤规则的设置方法 1. 按地址过滤 用于拒绝伪造的数据包。若想阻止伪造原地址的数据包进入内部网，可按下表设置规则。 将依据下图所示的屏蔽子网防火墙体系结构及实际应用需求，描述一组安全规则的配置。 这里，假设外部包过滤路由器的外部IP地址为，内部IP地址为； 内部包过滤路由器的外部地址IP为，内部