计算机系统安全防火墙.pptVIP

计算机系统安全防火墙 计算机系统安全防火墙 复合型防火墙 复合型防火墙 采用哪种形式的防火墙取决于经费、技术、时间等。 应用层 表示层 会话层 传输层 网络层 链路层 物理层 包过滤 应用网关 电路网关 计算机系统安全防火墙 包过滤技术 包过滤技术 计算机系统安全防火墙 包过滤技术的原理 包过滤技术 在路由器上加入IP Filtering 功能，这样的路由器就成为Screening Router 。 Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。 如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行； 如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃； 如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。 计算机系统安全防火墙 IPv4 包过滤技术 版本号 Version (4bit) 报头长 IHL (4bit) 服务类型 ServiceType (8bit) 分组总长度 Total Length (16bit) 标识 Identification (16bit) 标志 Flags (3bit) 片偏移 Fragment Offset (13bit) 生存时间 Time to Live (8bit) 传输层协议 Protocol (8bit) 头部校验和 Header Checksum (16bit) 源 IP 地址 Source Address(32bit) 宿 IP 地址 Destination Address(32bit) 可选项 Option 有效负载 Payload（0或多个字节） 20 bytes 0 4 8 16 19 31 填充域 padding 计算机系统安全防火墙 ICMP报文 包过滤技术 ICMP报文的一般格式 Data 差错信息 出错IP数据报的头+64个字节数据 类型 Type (8bit) 代码 Code (8bit) 检验和 Checksum (16bit) 不同类型和代码有不同的内容Data 0 8 16 31 ICMP header ICMP data IP header I P data 封装 计算机系统安全防火墙 TCP头部 包过滤技术 源端口 Source Port (16bit) 宿端口 Destination Port (16bit) 序列号 Sequence Number (32bit) 确认号 Acknowledgment Number (32bit) Data Offset (4bit) Reserved (6bit) U R G A C K P S H R S T S Y N F I N 窗口大小 Window size (16bit) 校验和 Checksum (16bit) 紧急指针 Urgent Pointer (16bit) 选项 Options (0 或多个 32 bit 字 ) 数据 Data ( 可选 ) 计算机系统安全防火墙 UDP头部 包过滤技术 UDP源端口 UDP宿端口 UDP长度 UDP校验和 16bit 16bit 最小值为8 全“0”：不选； 全“1”：校验和为0。 计算机系统安全防火墙 包过滤的依据 包过滤技术 IP 源地址 IP目的地址 封装协议(TCP、UDP、或IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口 计算机系统安全防火墙 依赖于服务的过滤 包过滤技术 多数服务对应特定的端口，例：Telnet、SMTP、POP3分别为23、25、110。如要封锁输入Telnet 、SMTP的连接，则Router丢弃端口值为23和25的所有数据包。 典型的过滤规则有以下几种： .只允许进来的Telnet会话连接到指定的一些内部主机 .只允许进来的FTP会话连接到指定的一些内部主机 .允许所有出去的Telnet 会话 . 允许所有出去的FTP 会话 .拒绝从某些指定的外部网络进来的所有信息 计算机系统安全防火墙 独立于服务的过滤 有些类型的攻击很难