防火墙技术-几种防护墙概念介绍.pptxVIP

第七讲：几种防火墙介绍1简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙传输层网络层数据链路层物理层应用层数据链路层物理层应用层传输层网络层

一、状态检测防火墙2对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。状态检测防火墙保留状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

过滤规则实例3顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCP192.168.1.5any202.106.185.23623permitOut4TCP*.*.*.*any*.*.*.*anydenyOut5UDP*.*.*.*any202.106.185.236161permitOut6UDP*.*.*.*any*.*.*.*anydenyOut

过滤规则配置的两种方式（一）4限制策略：接受信任的数据包，拒绝其它所有数据包顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCP192.168.1.5any192.168.2..23623permitOut3UDP*.*.*.*any192.168.2..236161permitOut4**.*.*.*any*.*.*.*anydeny*

过滤规则配置的两种方式（二）5宽松策略：拒绝不受信任的数据包，接受其它所有数据包顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80denyOut2TCP192.168.1.*any*.*.*.*21denyOut3TCP*.*.*.*any192.168.1.*445denyIn5UDP*.*.*.*any192.168.2.39000denyOut6**.*.*.*any*.*.*.*anypermit*

针对包过滤防火墙的攻击6对策：在外部接口上禁止内部地址IP地址欺骗，例如，假冒内部的IP地址对策：丢弃分片太小的分片小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中对策：采用状态检测防火墙192.168.1.9anyanyanypermit192.168.1.9anyany80deny利用规则设置漏洞对策：禁止这样的选项源路由攻击，即由源指定路由

源路由攻击71,B,permit2,C,denyB,DataC,DataB,DataR3,R1B,R3,R1,Data010302040506

作业1：根据条件编写防火墙规则8内网所有设备之间都能相互访问内网所有设备，除了以外，都能访问外网的Web服务只有能访问外网的应用A，其它设备都不能访问应用A内网Web服务和邮件服务能被外网所有设备访问内网文件服务能被外网的访问，其它网外设备不能访问其它访问被禁止内网外网

作业1：要求911月6日前通过邮件递交(jliao@fudan.edu.cn)Word文件，文件名：学号-作业1.doc按以下格式编写规则：顺序方向In/out/*协议TCP/UDP/*源地址源端口目的地址目的端口动作Permit/deny12345

第七讲：几种防火墙介绍10简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙传输层网络层数据链路层物理层应用层数据链路层物理层应用层传输层网络层

二、应用代理防火墙11也称为应用层网关特点所有的内外网之间的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视数据包的应用层内容可以实现基于用户的认证，防止IP欺骗所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大

应用代理防火墙技术介绍12优点：安全性高提供应用层的安全缺点：性能差伸缩性差只支持有限的应用不透明

应用代理防火墙13应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部/外部网络特定用户应用程序的通信，然后建立与外部/内部网络主机单独的连接。网络内部/外部的用户不直接与外部/内部的服务器通信，所以内部/外部主机不能直接访问外部/内部网络的任何一部分。DD010302

应用代理防火墙工作原理14

Telnet应用代理15远程登录Telnet应用代理的过程：用户首先Telnet到应用代理主机，并输入内部目标主机的名字（域名、IP地址）应用代理检查用户的源IP地址等，并根据事先设定的访问规则来决定