第四章防火墙技术 424防火墙体系结构的组合形式 (1)使用多堡垒主机; (2)合并内部路由器与外部路由器; (3)合并堡垒主机与外部路由器; (4)合并堡垒主机与内部路由器; (5)使用多台内部路由器; (6)使用多台外部路由器; (7)使用多个周边网络; (8)使用双重宿主主机与屏蔽子网
第四章 防火墙技术 4.2.4 防火墙体系结构的组合形式 (1)使用多堡垒主机; (2)合并内部路由器与外部路由器; (3)合并堡垒主机与外部路由器; (4)合并堡垒主机与内部路由器; (5)使用多台内部路由器; (6)使用多台外部路由器; (7)使用多个周边网络; (8)使用双重宿主主机与屏蔽子网
第四章防火墙技术 43包过滤防火墙 >包过滤防火墙工作在网络层 >利用访问控制列表(ACL)对数据包进行过滤 >过滤依据是TcP/P数据包 √源地址和目的地址 √源端口和目的端口 >优点是效率比较高,对用户透明 缺点是难于配置、监控和管理,无法有效地区 分同一IP地址的不同用户
第四章 防火墙技术 4.3 包过滤防火墙 ➢包过滤防火墙工作在网络层 ➢利用访问控制列表(ACL)对数据包进行过滤 ➢过滤依据是TCP/IP数据包: ✓ 源地址和目的地址 ✓ 源端口和目的端口 ➢优点是效率比较高,对用户透明 ➢缺点是难于配置、监控和管理,无法有效地区 分同一IP地址的不同用户
第四章防火墙技术 数据包过滤的主要依据有: (1)数据包的源地址; (2)数据包的目的地址; (3)数据包的协议类型(TcP、UDP、IcMP 等); (4)TcP或UDP的源端口; (5)TcP或UDP的目的端口; (6) ICMP消息类型
第四章 防火墙技术 数据包过滤的主要依据有: (1)数据包的源地址; (2)数据包的目的地址; (3)数据包的协议类型(TCP、UDP、ICMP 等); (4)TCP或UDP的源端口; (5)TCP或UDP的目的端口; (6)ICMP消息类型;
第四章防火墙技术 包过滤系统能进行以下情况的操作: (1)不让任何用户从外部网用 Telnet登录; (2)允许任何用户使用SMTP往内部网发电子邮件; (3)只允许某台机器通过NNTP往内部网发新闻 不能进行以下情况的操作: (1)允许某个用户从外部网用 Telnet登录而不允许 其他用户进行这种操作。 (2)允许用户传送一些文件而不允许用户传送其他 文件
第四章 防火墙技术 包过滤系统能进行以下情况的操作: (1)不让任何用户从外部网用Telnet登录; (2)允许任何用户使用SMTP往内部网发电子邮件; (3)只允许某台机器通过NNTP往内部网发新闻。 不能进行以下情况的操作: (1)允许某个用户从外部网用Telnet登录而不允许 其他用户进行这种操作。 (2)允许用户传送一些文件而不允许用户传送其他 文件
第四章防火墙技术 包过滤器操作 (1)包过滤标准必须由包过滤设备端口存储起来,这些包 过滤标准叫包过滤规则。 (2)当包到达端口时,对包的报头进行语法分析,大部分 的包过滤设备只检查工P、TCP或UDP报头中的字段,不检 查数据的内容。 (3)包过滤器规则以特殊的方式存储。 (4)如果一条规则阻止包传输或接收,此包便不允许通过。 (5)如果一条规则允许包传输或接收,该包可以继续处理。 (6)如果一个包不满足任何一条规则,该包被丢弃
第四章 防火墙技术 (1)包过滤标准必须由包过滤设备端口存储起来,这些包 过滤标准叫包过滤规则。 (2)当包到达端口时,对包的报头进行语法分析,大部分 的包过滤设备只检查IP、TCP或UDP报头中的字段,不检 查数据的内容。 (3)包过滤器规则以特殊的方式存储。 (4)如果一条规则阻止包传输或接收,此包便不允许通过。 (5)如果一条规则允许包传输或接收,该包可以继续处理。 (6)如果一个包不满足任何一条规则,该包被丢弃。 包过滤器操作