防火墙技术滤防火墙75009.pptVIP

如何过滤？ * 对于每个进来的数据包，适用一组规则，然后决定转发或者丢弃该包 过滤的规则以网络层和传输层为基础，包括源和目标IP地址、协议类型、源和目标端口号 过滤器往往建立一组规则，根据IP数据包是否匹配规则中指定的条件来作出决定 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 过滤依据 * 协议类型：TCP、UDP、ICMP等 源IP地址、目的IP地址 源端口、目的端口：FTP(21)、HTTP(80) 等 数据包流向：in或out IP选项： 源路由选项等 TCP选项：SYN、ACK、FIN、RST等 数据包流经网络接口：eth0、eth1等 包过滤防火墙工作协议 * 应用层 传输层 网络层 数据链路层 物理层 物理层 数据链路层 网络层 应用层 传输层 网络层 数据链路层 物理层 外部网络主机 内部网络主机 包过滤型防火墙 IP TCP 传输层 过滤规则设置 * 方向 类型 源地址 目的地址 源端口 目的端口 动作 inside tcp * any 21 permit inside tcp * any 80 permit inside udp any 161 permit * * * * * * deny 优点 不用改动客户机和主机上的应用程序 创建一个可以有效监控数据包的单独控制点 性能和效率较高 实现简单，易于配置 支持网络内部隐藏，免遭网络扫描的威胁 * 缺点 难防IP地址欺骗 不能提供有效用户认证 设计和配置一个真正安全的过滤规则比较困难 不能过滤所有的协议 对网络性能有一定影响 * 第五讲：防火墙知识 * TCP/IP与防火墙 防火墙的发展历程 简单包过滤防火墙 TCP/IP与防火墙——协议 * 目的物理地址 源物理地址 类型 数据 数据链路层 网络层 传输层 TCP/IP与防火墙——协议 * 防火墙 TCP/IP与防火墙——IP地址 通过TCP/IP协议形成的互联网是一个虚拟的网络，它隐藏了底层各种物理网络的细节。 一个逻辑的、通用的、虚拟的TCP/IP互联网尽管各底层网络可能不一样，但在网络层（及以上层）是一致的。 在这个一致的TCP/IP互联网上实现源端和目的端间的数据通信，需要有一个统一的、逻辑的通信端点标识方案，TCP/IP在网络层上使用IP地址编址方案。 IP地址是以TCP/IP协议进行数据通信的双方必须的、符合标准格式的节点（主机或路由器等）地址标识符，同一网络上联网的节点IP地址不能重复（冲突）。 在互联网上进行数据通信，每个节点必须拥有全球认可的、统一管理的、唯一的IP地址。（内部网络不受此限制，只要它的设备不直接与互联网通信；而通过代理服务器或地址转换设备可以间接与互联网通信。） 每个具体的PC、服务器、路由器的各通信端口（如网卡）均需赋予IP地址；一个物理通信端口可以赋予多个IP地址，每个IP地址成为一个通信节点（连接点） * TCP/IP与防火墙——端口 端口（Port） 传输层提供应用程序与网络之间的各接口点称为端口，它是个预定义的内部地址（编号），以16位字标识，提供从应用程序到传输层或从传输层到应用程序之间的一条通路，如：80端口。 在TCP/IP系统中，应用程序根据端口号通过TCP或UDP软件将数据送往目的主机或从源主机接收数据。 源主机和目的主机上的应用程序间要进行传输层及以上的通信，必须将该应用程序绑定在某个端口上。因此，通信除了需要IP地址外，还需要源和目的端口。 这样，通信根据网络层（IP层）的IP地址指明了源、目的主机，而根据传输层（TCP或UDP）的端口指明主机上各应用程序。 端口的分配有2种方式：静态端口（统一管理的静态指定和应用程序的静态指定）和动态端口（操作系统的动态绑定）。 * TCP/IP与防火墙——端口 知名（Well-known）端口 应用程序在使用端口时不能重复（冲突）。 通常，端口0～255保留归系统使用；256～1023是通用服务端口；1024以上用户程序可使用。 应用程序在通信时需要知道对方的端口号。典型的情况，在C/S模型下，Client （应用程序）向Server （服务程序）请求服务时，Client需要知道Server的服务端口。 通用的服务使用所谓“知名”端口号，如：FTP－21，Telnet－23，SMTP－25，DNS－53，TFTP－69，Gopher－70，Finger－79，HTTP－80，POP3－110，NNTP－119，SNMP－161，BGP－179等。 * TCP/IP与防火墙——端口 端口应用例 * 数据链路层 网络层 TCP …21,22,23, 80… UDP …9,11,161… FTP TCP 21 Web TCP 80 SNMP UDP 161