计算机网络安全技术（第7版）（微课版） 课件 2 静态包过滤防火墙.pptx

静态包过滤防火墙

包过滤防火墙（Packetfiltering）包过滤防火墙在网络层实现数据的转发。数据包过滤技术的发展：静态包过滤、动态包过滤。

简单包过滤防火墙的工作原理

静态包过滤防火墙包过滤防火墙在网络层实现数据的转发。五元组源、目的IP地址；源、目的端口号；协议类型；以太帧头IP头TCP/UDP头数据源MAC目的MAC源IP目的IP源端口目的端口

防火墙的安全策略作用：对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。安全策略由匹配条件、动作、选项（可选）组成。允许发送拒绝不发送IP协议应用（可选）端口流量条件动作反馈报文通过丢弃

包过滤防火墙的工作流程

静态包过滤防火墙的特点优点缺点利用路由器本身的包过滤功能，以访问控制列表方式实现。处理速度较快。对用户来说是透明的，用户的应用层不受影响无法关联一个会话中数据包之间的关系。不检查应用层数据。无法适应多通道协议，如FTP。

案例：只允许PC访问某个web服务器。PC:防火墙Web服务器:编号源地址源端口目的地址目的端口动作1Any80允许2anyanyanyany拒绝编号源地址源端口目的地址目的端口动作1any80允许280any允许3anyanyanyany拒绝需要双向规则表1表2

防火墙的策略基本原则策略的合理性：业务需求分析。默认（缺省）策略：策略的顺序：最常用的规则放在前面，可以减少查询开销；明确拒绝的规则要放在允许的规则前面；匹配度更高的规则放在前面；针对所有用户的规则放在前面；尽量简化规则。

策略名称匹配条件执行动作分析Policy1源IP：/16允许Policy2目的IP：/2拒绝Policy3源IP：/24允许Policy4目的IP：/24允许策略分析问题：