防火墙技术详解

防火墙技术详解防火墙术详解北技天和科瑞京询咨有公限司京邮北大学移动电互联与网息信实化室验2023年月

6火墙技防术详1.解1火墙简防介1.防火2的墙能要求功1.3火防墙安的全置配.1防4火墙的安全理管

简介—防—火是墙什？么过！过滤滤过！!滤forwrda实现一公个司的全安略策创建一阻个塞点录记INTRNETE动活Inputuoptt

u限制网暴络露uoputtforwardIpnu

t

介简——防墙的放火在哪？

部子内1

网Intenetr路由防火器墙防火墙

部内子网2业企内部网

防墙类火型包过滤防火墙状态测检防墙火代理防火墙混合防墙火人个火墙防

防火墙型—类—包滤(过)1任务就:作是“为信通警”察指，包和截住那些有危害的引。包包过防滤火墙查检一每个过的通络包，网或丢者，弃或放者行，决于所建取的立套规一则；本质上包过滤，火墙防是址多，的表明有两它或个个两上以网络适器或接配口例如，作为。防墙的火备设可有能块两网，一卡连块到部内网络，块连到公一共In的teret。n

火墙防类型——包过滤(2)包滤防过墙的工火原理：作防墙可以火提内部供信息说以所通过的明接状连态一些和数流据内的，容判把的断息同规信则表进行比，较在则规表定义中了各种则规来明是表否同或拒绝包的通意过。过包防火墙滤查每检条一规直则发现至包的中息与信某则规相符。果如没一条有则规符合能，防墙就会使火用默规则认，般情一下，默认况则规是要就防火墙求弃该包。丢其，通次定义基于过TC或PUD数据P的包口号，防火墙端能够断是判否许允建立特定的接连，如eTnlt、FTPe连接

。火墙防类—型包过滤(3)—建立包过滤火防规则的墙例如子：下

在公网络，只允共许目的地址为80端的口通包过。这规则只条允许传入的连为We接b连。接这规则条也许允Web与连使接用相同口端的接连，以所它并不是分安十全。丢从弃共公络传网，但源入址为内部地网络地址包，的从减而IP欺少骗的攻击。性丢弃包含路由信息的源，以减包少路由源击。要记住攻，在路源攻击中，由入传包包的路由信息，它覆盖含了包通网过应络取采正常路得，可

由防

墙火型类——包滤(过)4使用过滤包火墙防优点的包括：防墙火每条对入和传传网络的包实行出水低平制；控每个IP包的字段被检查，例都如源址、地目的址地协议、端口、,等防火墙将基这于些息应用过信滤则；规火防可以识别墙和丢带欺弃性源骗P地I的包址；包过防滤火是两墙网个络之访问的唯一来间源因，为所的通信必须有通过防火墙绕过是困，

难的；包过滤通常包含被在由路数器据包中所以，必额外不系统来处的理这特个征；使用包滤防火过墙缺的包括点:配臵困难：因包过为防火墙滤复杂，人们经常会忽略建立很些一要必的规，则者或误配错了臵已有的则，规在火墙上防留下漏；洞特定服务开放的端为口在着存危，可险会被用能其于传他输；可能还其有他方法绕过防火进墙入络，网例拨入连接，如这但并个不

火墙类防型—状—检测态(1)态状检测又动称态包过，是滤传统在包滤过的上功能扩，展包滤防火墙中引过了入状态检测，表最由check早opnt提出。

i

防墙火类型——态检测(状2)作原理工:TPC:包建当起立一T个CP连时接，过的通一个第包标被包有SYN标志的通常情况下，。防火丢墙所有外弃部的连企图接除，非已经建立某起条定特则来规理它们。处对部的连内接试连到图部外主机，防火注墙连明包接允许，应随后在响个系统之间传两的包，输到直连结接为束止。这种在方式下传入的包，只在它有是响一应个建立已的连接时才会，允被通过许。

防火墙型类——状态检测()工3作理原：UDP:UD包P比TC包包简P,因为单它们包含任不何连接序或信列。息们它包只含源址地目、地的址校验、携带和数的据。这信息的缺种乏使得火墙确定防包的法性很合难，因为没困打开有的连接利可用以，试测入传包是的应被允许否通过可是，。如防果墙跟火踪包的状态就可，确以定。对传入包，的若它使所用的地和址UDP包带的协议携与传出的连请接求匹配该包，就允被许过。通T和CP包一，没有样入传UD的包P被允会许通，除非过是它应响传出请的或已经求建立指定的规了则处理它来对。他种类的包其情况，和UD包P类似防。墙火细地仔跟传出踪请求的，录记所下用使的地址、议协包的和类型，后对照然保存过的息信对核传的包，入确以这些包保被是请的。求

防火墙类——型状态检(测4状态)/动态检测防墙火的优点有：具有查检I包P的个每段字的能，并力从基遵包于信息的中过规滤则;别识带有骗性源欺I地址包的能P力；具有于基应用程信序息验证个一包的状的能态，例力如基于一个已建经立F的PT接，连允许返回的TPF通过包；允许一先前认证过个连的接继续与被授的予服通务；信具有记录有关过的每个包的通细详信的息力。能基本，上火防墙来用确包定状的态所信有都息以可记被录包括，用程应对序包的请，求接连持续时间的内，部外和部统系所做的接请求等；连状态动/态测检防墙火的缺点：所有这些录记、试和测分析工作能会可成网络造接连某的种滞迟，别是特在时有许多同连激接活的候，或时是有者量大过的滤络通网信的规则在时存。是可，件速度越快硬，这问题个越就易不觉，察而防火且的墙制造一商直力于致高他们产提的速度品。

防墙类火—型—理代防火墙1()应级防用墙主火工作在要用层应。应级防火墙往用往称为应又用网级。关应用序代程防火墙理际上并不允许实它在接连的网之间络直通信接。反相，是接它受来自内部网特络用定户用应序程的通，信然建后对立共网公服务络单独器的连接。网内络的用户部直接不外与部的服器务通，所信服务以不能直接器访问部网的内任一部分。何

另外，如不为特定果的应用序程安装代程序代码理这种，服是不会被支持的务，不建立任何能接。这连种立方式拒绝任何没建明有配确的连臵接从而提供了，额外的全安性控和制。性防火

墙型类—代理防—墙火()2支的常见持用应序：程HTPTTTPS/HSSLSTPMPO3PIAPMNNP