安徽理工大学 计算机科学与工程学院 防火墙技术 《现代计算机网络》
安徽理工大学 计算机科学与工程学院 11 《现代计算机网络》 防火墙技术
安徽理工大学 计算机科学与工程学院 防火墙技术 防火墙的基本概念 ·防火墙是在网络之间执行安全控制策略的系统,它包 括硬件和软件; ·设置防火墙的目的是保护内部网络资源不被外部非授 权用户使用,防止内部受到外部非法用户的攻击。 外部网络 内部网络 防火墙 不可信赖的网络 可信赖的网络 12 《现代计算机网络》
安徽理工大学 计算机科学与工程学院 12 《现代计算机网络》 防火墙技术 防火墙的基本概念 • 防火墙是在网络之间执行安全控制策略的系统,它包 括硬件和软件; • 设置防火墙的目的是保护内部网络资源不被外部非授 权用户使用,防止内部受到外部非法用户的攻击
安徽理工大学 计算机科学与工程学院 防火墙的基本概念 ·防火墙一为内部网络建立安全边界 (security perimeter) ·构成防火墙系统的两个基本部件: 一包过滤路由器(packet filtering router). 一应用级网关(application gateway) ·组合方式有多种,防火墙系统的结构也有多种 形式 13 《现代计算机网络》
安徽理工大学 计算机科学与工程学院 13 《现代计算机网络》 防火墙的基本概念 • 防火墙 — 为内部网络建立安全边界 (security perimeter) • 构成防火墙系统的两个基本部件: — 包过滤路由器(packet filtering router) — 应用级网关(application gateway) • 组合方式有多种,防火墙系统的结构也有多种 形式
安徽理工大学 计算机科学与工程学院 包过滤路由器 包过滤路由器的结构 包过滤路由器 包过滤 规则 内部网络 网络层 网络层 数据链路层 数据链路层 物理层 物理层 Irternet 外部网络 防火墙 工作站 服务器 14 《现代计算机网络》
安徽理工大学 计算机科学与工程学院 14 《现代计算机网络》 包过滤路由器 包过滤路由器的结构
安徽理工大学 计算机科学与工程学院 ·路由器按照条统内部设置的分组过滤规则(即访问控 制表),检查每个分组的源P地址、目的P地址,决 定该分组是否应该转发; ·包过滤规则一般是基于部分或全部报头的内容; ·对于TCP报头信息可以是: ·源P地址 ·目的P地址 ·协议类型 ·P选项内容 ·源TCP端口号 ·目的TCP端口号 ·TCPACK标识 15 《现代计算机网络》
安徽理工大学 计算机科学与工程学院 15 《现代计算机网络》 • 路由器按照系统内部设置的分组过滤规则(即访问控 制表),检查每个分组的源IP地址、目的IP地址,决 定该分组是否应该转发; • 包过滤规则一般是基于部分或全部报头的内容; • 对于TCP报头信息可以是: • 源IP地址 • 目的IP地址 • 协议类型 • IP选项内容 • 源TCP端口号 • 目的TCP端口号 • TCP ACK标识