防火墙技术包过滤防火墙.ppt

关于防火墙技术包过滤防火墙第1页，共35页，星期日，2025年，2月5日*TCP/IP与防火墙——协议目的物理地址源物理地址类型数据数据链路层网络层传输层第2页，共35页，星期日，2025年，2月5日*TCP/IP与防火墙——协议防火墙第3页，共35页，星期日，2025年，2月5日*TCP/IP与防火墙——IP地址通过TCP/IP协议形成的互联网是一个虚拟的网络，它隐藏了底层各种物理网络的细节。一个逻辑的、通用的、虚拟的TCP/IP互联网尽管各底层网络可能不一样，但在网络层（及以上层）是一致的。在这个一致的TCP/IP互联网上实现源端和目的端间的数据通信，需要有一个统一的、逻辑的通信端点标识方案，TCP/IP在网络层上使用IP地址编址方案。IP地址是以TCP/IP协议进行数据通信的双方必须的、符合标准格式的节点（主机或路由器等）地址标识符，同一网络上联网的节点IP地址不能重复（冲突）。在互联网上进行数据通信，每个节点必须拥有全球认可的、统一管理的、唯一的IP地址。（内部网络不受此限制，只要它的设备不直接与互联网通信；而通过代理服务器或地址转换设备可以间接与互联网通信。）每个具体的PC、服务器、路由器的各通信端口（如网卡）均需赋予IP地址；一个物理通信端口可以赋予多个IP地址，每个IP地址成为一个通信节点（连接点）第4页，共35页，星期日，2025年，2月5日*TCP/IP与防火墙——端口端口（Port）传输层提供应用程序与网络之间的各接口点称为端口，它是个预定义的内部地址（编号），以16位字标识，提供从应用程序到传输层或从传输层到应用程序之间的一条通路，如：80端口。在TCP/IP系统中，应用程序根据端口号通过TCP或UDP软件将数据送往目的主机或从源主机接收数据。源主机和目的主机上的应用程序间要进行传输层及以上的通信，必须将该应用程序绑定在某个端口上。因此，通信除了需要IP地址外，还需要源和目的端口。这样，通信根据网络层（IP层）的IP地址指明了源、目的主机，而根据传输层（TCP或UDP）的端口指明主机上各应用程序。端口的分配有2种方式：静态端口（统一管理的静态指定和应用程序的静态指定）和动态端口（操作系统的动态绑定）。第5页，共35页，星期日，2025年，2月5日*TCP/IP与防火墙——端口知名（Well-known）端口应用程序在使用端口时不能重复（冲突）。通常，端口0～255保留归系统使用；256～1023是通用服务端口；1024以上用户程序可使用。应用程序在通信时需要知道对方的端口号。典型的情况，在C/S模型下，Client（应用程序）向Server（服务程序）请求服务时，Client需要知道Server的服务端口。通用的服务使用所谓“知名”端口号，如：FTP－21，Telnet－23，SMTP－25，DNS－53，TFTP－69，Gopher－70，Finger－79，HTTP－80，POP3－110，NNTP－119，SNMP－161，BGP－179等。第6页，共35页，星期日，2025年，2月5日*TCP/IP与防火墙——端口端口应用例数据链路层网络层TCP…21,22,23,80…UDP…9,11,161…FTPTCP21WebTCP80SNMPUDP161计算机A至计算机B，TCP端口21计算机B至计算机B，TCP端口80TCP：2340TCP：2349第7页，共35页，星期日，2025年，2月5日*……10permittedtcp(1828)?(25)11permittedtcp(2310)?21(80)12permittedtcp(1828)?5(445)13permittedtcp(8428)?10(445)14permittedtcp(1240)?21(80)15permittedtcp(2311)?21(80)16permittedtcp(2312)?21(80)17permittedtcp(2121)?(80)18permittedtcp0(1840)?(25)19permittedtcp0(2311)?(80)20permittedudp(1833)?(161)21permittedtcp(3210)?21(80)22permittedtcp(2003)?4(445)23permittedtcp10(6500)?0(21)24permittedtcp00(5328)?