包过滤技术——防火墙技术与应用_第1页
包过滤技术——防火墙技术与应用_第2页
包过滤技术——防火墙技术与应用_第3页
包过滤技术——防火墙技术与应用_第4页
包过滤技术——防火墙技术与应用_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、主讲人:郑棋元论 文:刘航PPT: 刘丹晨包过滤原理包过滤规则表包过滤技术优缺点分析什么是包过滤技术?u包过滤是最早应用到防火墙当中的技术之一。u它针对网络数据包由信息头和数据信息两部分组成这一特点而设计。u包过滤防火墙工作在网络层和传输层。 包过滤技术是对通过防火墙的数据包的首部信息进行解析,根据事先定义的访问控制列表(ACL)规则决定包的前行或被舍弃,以达到对数据包进行过滤。ACL的出现就是配合防火墙的设计而被定义出来的。所以包过滤防火墙的精华之处就在于ACL。包过滤既可作用在入方向也可作用在出方向。 包过滤技术应用的关键问题是如何检查数据包,以及检查到何种程度才能既保障安全又不会对通信速

2、度产生明显负面影响。从理论上讲,包过滤防火墙可以被配置为根据协议报头的任何数据域进行分析过滤,但大多数只是针对性的分析数据包信息头的部分域。 防火墙中的检查模块将所有通过的数据包中发送方IP地址、接收方的IP地址、TCP端口、TCP标志位等信息读出,按照预先设置的过滤规则过滤数据包。只有满足过滤规则的数据包才被转发,其余数据包则被丢弃。 包过滤设备配置有一系列数据过滤规则,定义了什么包可以通过防火墙,什么包必须丢弃。这些规则被称为数据包过滤访问控制列表(ACL)。 下表所示的过滤规则样表包含以下内容: 源IP地址、目标IP地址、源端口、目的端口 协议类型 TCP包头标志位 对数据包的操作 数据

3、流向序号序号源源IP目的目的IP协协 议议源端口源端口目的端口目的端口标志位标志位操作操作 1内部网络地址外部网络地址TCP任意80任意允许 2外部网络地址内部网络地址TCP801023ACK允许 3所有所有所有所有所有所有拒绝访问控制列表的配置有两种方式 严策略。接受受信任的IP包,拒绝其他所有的IP包。 宽策略。拒绝不受信任的IP包,接受其他所有的IP包。在实际应用中一般采用严策略来设置防火墙规则。一般地,包过滤防火墙还应该阻止以下几种IP包进入内部网l 源地址是内部地址的外来数据包l 指定中转路由器的数据包l 有效载荷很小的数据包优点: 一个过滤路由器能协助保护整个网络。绝大多数Inte

4、rnet防火墙系统只用一个包过滤路由器; 过滤路由器速度快、效率高。 包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时,它与普通路由器没什么区别,甚至用户没有认识到它的存在,因此不需要专门的用户培训或在每主机上设置特别的软件。缺点: 定义包过滤器需要网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。是一项很复杂的工作。 路由器信息包的吞吐量随过滤器数量的增加而减少。 不能彻底防止地址欺骗。伪造IP地址很容易、普遍。缺点: 一些应用协议不适合于数据包过滤。即使是完美的数据包过滤,也会发现一些协议不很适合于经由数据包过滤安全保护。 一些包过滤路由器不提供任何日志能力,直到闯入发生后,危险的封包才可能检测

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论