防火墙技术包过滤防火墙_第1页
防火墙技术包过滤防火墙_第2页
防火墙技术包过滤防火墙_第3页
防火墙技术包过滤防火墙_第4页
防火墙技术包过滤防火墙_第5页
已阅读5页,还剩30页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

关于防火墙技术包过滤防火墙第1页,课件共35页,创作于2023年2月2TCP/IP与防火墙——协议目的物理地址源物理地址类型数据数据链路层网络层传输层第2页,课件共35页,创作于2023年2月3TCP/IP与防火墙——协议防火墙第3页,课件共35页,创作于2023年2月4TCP/IP与防火墙——IP地址通过TCP/IP协议形成的互联网是一个虚拟的网络,它隐藏了底层各种物理网络的细节。一个逻辑的、通用的、虚拟的TCP/IP互联网尽管各底层网络可能不一样,但在网络层(及以上层)是一致的。在这个一致的TCP/IP互联网上实现源端和目的端间的数据通信,需要有一个统一的、逻辑的通信端点标识方案,TCP/IP在网络层上使用IP地址编址方案。IP地址是以TCP/IP协议进行数据通信的双方必须的、符合标准格式的节点(主机或路由器等)地址标识符,同一网络上联网的节点IP地址不能重复(冲突)。在互联网上进行数据通信,每个节点必须拥有全球认可的、统一管理的、唯一的IP地址。(内部网络不受此限制,只要它的设备不直接与互联网通信;而通过代理服务器或地址转换设备可以间接与互联网通信。)每个具体的PC、服务器、路由器的各通信端口(如网卡)均需赋予IP地址;一个物理通信端口可以赋予多个IP地址,每个IP地址成为一个通信节点(连接点)第4页,课件共35页,创作于2023年2月5TCP/IP与防火墙——端口端口(Port)传输层提供应用程序与网络之间的各接口点称为端口,它是个预定义的内部地址(编号),以16位字标识,提供从应用程序到传输层或从传输层到应用程序之间的一条通路,如:80端口。在TCP/IP系统中,应用程序根据端口号通过TCP或UDP软件将数据送往目的主机或从源主机接收数据。源主机和目的主机上的应用程序间要进行传输层及以上的通信,必须将该应用程序绑定在某个端口上。因此,通信除了需要IP地址外,还需要源和目的端口。这样,通信根据网络层(IP层)的IP地址指明了源、目的主机,而根据传输层(TCP或UDP)的端口指明主机上各应用程序。端口的分配有2种方式:静态端口(统一管理的静态指定和应用程序的静态指定)和动态端口(操作系统的动态绑定)。第5页,课件共35页,创作于2023年2月6TCP/IP与防火墙——端口知名(Well-known)端口应用程序在使用端口时不能重复(冲突)。通常,端口0~255保留归系统使用;256~1023是通用服务端口;1024以上用户程序可使用。应用程序在通信时需要知道对方的端口号。典型的情况,在C/S模型下,Client(应用程序)向Server(服务程序)请求服务时,Client需要知道Server的服务端口。通用的服务使用所谓“知名”端口号,如:FTP-21,Telnet-23,SMTP-25,DNS-53,TFTP-69,Gopher-70,Finger-79,HTTP-80,POP3-110,NNTP-119,SNMP-161,BGP-179等。第6页,课件共35页,创作于2023年2月7TCP/IP与防火墙——端口端口应用例数据链路层网络层TCP…21,22,23,80…UDP…9,11,161…FTPTCP21WebTCP80SNMPUDP161计算机A至计算机B,TCP端口21计算机B至计算机B,TCP端口80TCP:2340TCP:2349第7页,课件共35页,创作于2023年2月8…

…10permittedtcp(1828)(25)11permittedtcp(2310)21(80)12permittedtcp(1828)5(445)13permittedtcp(8428)10(445)14permittedtcp(1240)21(80)15permittedtcp(2311)21(80)16permittedtcp(2312)21(80)17permittedtcp(2121)(80)18permittedtcp0(1840)(25)19permittedtcp0(2311)(80)20permittedudp(1833)(161)21permittedtcp(3210)21(80)22permittedtcp(2003)4(445)23permittedtcp10(6500)0(21)24permittedtcp00(5328)10(445)25permittedtcp00(4433)5(445)26permittedtcp0(2433)(80)27permittedtcp0(2433)(25)28permittedtcp0(6783)(80)29permittedtcp(2439)0(80)30permittedtcp(4139)0(80)31permittedtcp8(5577)0(80)32permittedtcp4(5432)0(80)…

…TCP/IP与防火墙——防火墙日志第8页,课件共35页,创作于2023年2月9第五讲:防火墙知识TCP/IP与防火墙防火墙的发展历程简单包过滤防火墙第9页,课件共35页,创作于2023年2月102000基于实现方式基于技术手段防火墙的发展历程第10页,课件共35页,创作于2023年2月11由于多数路由器中本身就包含有分组过滤功能,故网络访问控制可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代:基于路由器的防火墙第11页,课件共35页,创作于2023年2月12基于路由器的防火墙特点:利用路由器本身对数据包的解析,以访问控制表方式控制数据包的过滤;过滤判决的依据可以是:IP地址、端口号、以及其它网络特征;只有数据包过滤功能,配置简单。第12页,课件共35页,创作于2023年2月13基于路由器的防火墙工作原理:检查数据链路层的物理地址检查网络层的IP地址网段网段第13页,课件共35页,创作于2023年2月14基于路由器的防火墙缺点:本身具有安全漏洞;过滤规则的设置存在安全隐患;最大的隐患是:攻击者可以“假冒”地址进行攻击;本质性缺陷是:会大大降低路由器的性能。代表产品:Cisco路由器第14页,课件共35页,创作于2023年2月15第二代:防火墙工具套件用户化的防火墙,将过滤功能从路由器中独立出来,并加上审计和告警功能。针对用户需求,提供模块化的软件包,是纯软件产品。第15页,课件共35页,创作于2023年2月16防火墙工具套件特点:将过滤功能从路由器中独立出来,并加上审计和告警功能;提供模块化的软件包;用户可以自己动手构造防火墙(iptable);与第一代防火墙相比,安全性提高了,价格降低了。第16页,课件共35页,创作于2023年2月17防火墙工具套件缺点:配置和维护过程复杂、费时;对用户的技术要求高;全软件实现,安全性和处理速度均有限制。代表产品: iptable、TIS

FWTK、AXNET

Raptor、SecureZone第17页,课件共35页,创作于2023年2月18第三代:通用操作系统防火墙建立在通用操作系统上的防火墙,近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。有以纯软件实现的,也有以硬件方式实现的。第18页,课件共35页,创作于2023年2月19通用操作系统防火墙特点:是批量生产的专用防火墙;具备数据包过滤功能;具备专用的代理系统;安全性和速度大大提高。第19页,课件共35页,创作于2023年2月20通用操作系统防火墙缺点:由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;该类防火墙既要防止外部网络的攻击,还要防止来自针对操作系统的攻击;用户必须依赖防火墙厂商和操作系统厂商两方面的安全支持。第20页,课件共35页,创作于2023年2月21通用操作系统防火墙代表产品:CheckPointfireWall-1CAEtrustFireWallMicrosoftProxyServer天融信网络卫士东大阿派NetEyes联想网御...…第21页,课件共35页,创作于2023年2月22第四代:安全操作系统防火墙具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上得到提高。第22页,课件共35页,创作于2023年2月23安全操作系统防火墙特点:防火墙厂商具有操作系统的源代码,并可实现安全内核;对安全内核实现加固处理:去掉不必要的系统特性,强化安全保护;在功能上包括了数据包过滤、应用网关、电路级网关,具有加密与鉴别功能;透明性好,易于使用;取消危险的系统调用;限制命令的执行权限;采用随机连接序号;采用多个安全内核;…

…第23页,课件共35页,创作于2023年2月24安全操作系统防火墙代表产品:Cisco

PIXNetScreen第24页,课件共35页,创作于2023年2月25第五讲:防火墙知识TCP/IP与防火墙防火墙的发展历程简单包过滤防火墙第25页,课件共35页,创作于2023年2月26防火墙技术分类简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙应用层传输层网络层数据链路层传输层网络层应用层传输层网络层第26页,课件共35页,创作于2023年2月27简单包过滤/分组过滤防火墙原理作用在网络层和传输层,它根据数据包的包头源地址、目的地址和源端口号、目的端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。第27页,课件共35页,创作于2023年2月28包过滤防火墙设计目标与能力防火墙的基本设计目标首先能够区分“内部”与“外部”网络。所有通过“内部”和“外部”的网络流量都要经过防火墙通过设置安全策略,来保证只有经过授权的数据才可以通过防火墙防火墙本身具备较高的性能与安全防火墙的控制能力设备控制,确定哪些设备可以被访问服务/应用控制,确定哪些服务/应用可以被访问方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制,根据用户来控制对服务的访问第28页,课件共35页,创作于2023年2月29如何过滤?对于每个进来的数据包,适用一组规则,然后决定转发或者丢弃该包过滤的规则以网络层和传输层为基础,包括源和目标IP地址、协议类型、源和目标端口号过滤器往往建立一组规则,根据IP数据包是否匹配规则中指定的条件来作出决定如果匹配到一条规则,则根据此规则决定转发或者丢弃如果所有规则都不匹配,则根据缺省策略第29页,课件共35页,创作于2023年2月30过滤依据协议类型:TCP、UDP、ICMP等源IP地址、目的IP地址源端口、目的端口:FTP(21)、HTTP(80)等数据包流向:in或outIP选项:

源路由选项等TCP选项:SYN、ACK、FIN、RST等数据包流经网络接口:eth0、eth1等第30页,课件共35页,创作于2023年2月31包过滤防火墙工作协议应用层传输层网络层数据链路层物理层物理层数据链路层网络层应用层传输层网络层数据链路层物理层外部网络主机内部网络主机包过滤型防火墙IPTCP传输层第31页,课件共35页,创作于2023年2月32过滤规则设置方向类型源地址目的地址源端口目的端口动作insidetcp*any21permitinsidetcp*any80permitinsideudp

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论