安全21防火墙安全策略.docVIP

包过滤作为一种网络安全保护机制，主要用于对网络中各种不同的流量是否转发做一 个最基本的控制。 传统的包过滤防火墙对于需要转发的报文，会先获取报文头信息，包括报文的源IP地 址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等，然后和预 先设定的过滤规则进行匹配，并根据匹配结果对报文采取转发或丢弃处理。 包过滤防火墙的转发机制是逐包匹配包过滤规则并检查，所以转发效率低下。目前防 火墙基本使用状态检查机制，将只对一个连接的首包进行包过滤检查，如果这个首包能够 通过包过滤规则的检查，并建立会话的话，后续报文将不再继续通过包过滤机制检测，而 是直接通过会话表进行转发。 3 包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口 号、目的端口号、上层协议等信息组合定义网络中的数据流，其中源IP地址、目的IP地址 、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组，也是 组成TCP/UDP连接非常重要的五个元素。 4 防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允 许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检 验，符合安全策略的合法数据流才能通过防火墙。 通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间 的访问权限等。同时也能够对设备本