计算机网络安全技术5 防火墙技术.pptVIP

应用层 TCP 层 IP 层 网络接口层 TCP 数据 IP 数据 TCP TCP 数据 IP ETH 数据 TCP 数据 IP 应用层 TCP 层 IP 层 网络接口层 TCP 数据 IP 数据 TCP TCP 数据 IP ETH 数据 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱 简单包过滤防火墙的工作原理2 包过滤防火墙的工作流程 优点： 保护整个网络；对用户透明；可用路由器，不需要其他设备。 缺点： 1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。 2.包过滤规则难配置。 3.新的协议的威胁。 4.IP欺骗 包过滤防火墙的特点 应用实例 要求： 1.内网的用户可以访问所有的WEB服务器。 2.外网的用户只可以访问内部的WEB服务器（）。 E0访问规则 E0端口 方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 /24 1023 any 80 TCP 进站 拒绝 any ? any ? ? 【问题】 1.第一条中源地址是否可以改为any?为什么？ 2.第一条中源端口是否可以改为any?为什么？ 3.S0口需要什么样的规则？ S0访问规则 【问题】 1. 攻击者在内网安装了一个服务端的端口大于1023，客户端的端口是80的木马，是否可以通过这个防火墙？ 2.防火墙是否能够阻挡对服务器的SYN扫描？ 方向 动作 源地址 源端口 目的地址 目的端口 协议 进站 允许 any 1023 80 TCP 进站 允许 any 80 /24 1023 TCP 进站 拒绝 any ? any ? ? 判断数据包的标志位 【问题】 1.此时防火墙是否能够阻挡对服务器的SYN扫描？ 2.对于特殊构造了标志位的数据包？ 3.是否可以阻挡反弹端口的木马？ 方向 动作 源地址 源端口 目的地址 目的端口 协议 标志位 进站 允许 any 1023 80 TCP ? 进站 允许 any ? any ? TCP established 进站 拒绝 any ? any ? ? ? 2. 动态包过滤 (状态检测) 防火墙 工作原理1： 应用层 TCP 层 IP 层 网络接口层 TCP 数据 IP 数据 TCP TCP 数据 IP ETH 数据 TCP 数据 IP 应用层 TCP 层 IP 层 网络接口层 TCP 数据 IP 数据 TCP TCP 数据 IP ETH 数据 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱 建立连接状态表 动态包过滤 (状态检测) 防火墙的工作原理2 应用实例 【问题】 动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。 1. TCP 开始攻击 IP 规则 连接表 TCP 开始攻击 IP TCP 开始攻击 IP TCP 开始攻击 IP SYN ACK SYN 2. 允许 允许 TCP 开始攻击 IP n. …… 动态包过滤防火墙的工作流程 3．代理防火墙（Proxy Server） 代理防火墙的工作过程： 代理防火墙的工作原理 代理服务器的类型 HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。 FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。 POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。 Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。 Socks代理：是全能代理，支持多种协议，包括http、ftp请求及其它类型的请求，其标准端口为1080。 …… 应用实例 例1：不允许上。 方法： 1.使用包过滤防火墙把服务器的所有IP过滤掉。 2.使用代理防火墙过滤域名