计算机系统安全（第2版）课件 16防火墙.pptVIP

包过滤的依据 路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。 如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。 如果找到一个匹配，且规则拒绝此包，这一包则被舍弃。 如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。 * 包过滤的依据 IP 源地址 IP目的地址 封装协议(TCP、UDP、或IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口 * 从属服务的过滤 包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。 例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。 如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。 典型的过滤规则有以下几种：允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。 * 独立于服务的过滤