静态包过滤防火墙 ■数据包协议类型:TCP、UDP、CMP、GMP等; 源、目的|P地址: 源、目的端口:FTP、HTTP、DNS等; 卩P选项:源路由、记录路由等; TCP选项:SYN、ACK、FN、RST等; ■其他协议选项: CMP ECHO、| CMP ECHO REPLY等 数据包流向:in或out; 数据包流经网络接口:eth0、eth1
静态包过滤防火墙 ◼ 数据包协议类型:TCP 、UDP 、ICMP 、IGMP等; ◼ 源、目的IP 地址; ◼ 源、目的端口:FTP 、HTTP 、DNS 等; ◼ IP 选项:源路由、记录路由等; ◼ TCP 选项:SYN 、ACK 、FIN 、RST 等; ◼ 其他协议选项:ICMP ECHO 、ICMP ECHO REPLY 等; ◼ 数据包流向:in 或out ; ◼ 数据包流经网络接口:eth0 、eth1
TCP/P协议模型 5.应用层 4.TCP层 3|P层P过滤、Port过滤、NAT 2.数据链路层 1.物理层 输入数据流 输出数据流 静态包过滤防火墙工作层示意图
5.应用层 4.TCP层 3.IP层 2.数据链路层 1.物理层 IP过滤、Port过滤、NAT… 输入数据流 输出数据流 静态包过滤防火墙工作层示意图 TCP/IP协议模型
静态包过滤防火墙 ■优点 速度快、对于客户端透明 ■缺点 不能进行内容检查、所工作的层次较低 端口必须静态开放、ACL的配置在复杂 网络下容易出错
静态包过滤防火墙 ◼ 优点 速度快、对于客户端透明 ◼ 缺点 不能进行内容检查、所工作的层次较低、 端口必须静态开放、ACL的配置在复杂 网络下容易出错
静态包过滤防火墙 设内部网地址为192.168.0.0/24,防火墙内网卡 eth地址为19216801,防火墙外网卡ethO地址为 10.111213,DNS地址为1011.154,要求允许内部网 所有主机能访问外网WWW、FTP服务,外部网不能访 问内部主机。 Set interna|=192.168.0.0/24 Deny ip from Internal to any in via eth0 Deny ip from not internal to any in via eth 1 Allow udp from internal to any dns Allow udp from any dns to internal Allow tcp from any to any established Allow tcp from internal to any www in via eth 1 Allow tcp from Internal to any ftp in via eth 1 Allow tcp from any ftp-data to internal in via etho Deny ip from any to any
静态包过滤防火墙 设内部网地址为192 . 168 . 0 . 0 / 24 , 防火墙内网卡 eth1地址为192.168.0.1 ,防火墙外网卡eth0 地址为 10.11.12.13 , DNS 地址为10.11.15.4 ,要求允许内部网 所有主机能访问外网WWW 、FTP 服务,外部网不能访 问内部主机。 Set internal = 192.168.0.0 / 24 Deny ip from $internal to any in via eth0 Deny ip from not $internal to any in via eth1 Allow udp from $internal to any dns Allow udp from any dns to $internal Allow tcp from any to any established Allow tcp from $internal to any www in via eth1 Allow tcp from $internal to any ftp in via eth1 Allow tcp from any ftp-data to $internal in via eth0 Deny ip from any to any
带状态检测的包过滤防火墙 ■工作在|P层 动态开放端口 根据数据包的头信息打开或关闭端口。当一组数据包通过打 开的端口到达目的地,防火墙就关闭这些端口。减少了端口 的开放时间。 ■动态的状态列表 釆用了一个在网关上执行网络安全策略的软件引擎(监测模块)。 监测模块工作在链路层和网络层之间,对网络通信的各层实 施监测分析,提取相关的通信和状态信息,并在动态连接表 中进行状态及上下文信息的存储和更新,这些表被持续更新, 为下一个通信检査积累数据 ■可以对应用层过滤 ■速度和效率都不错
带状态检测的包过滤防火墙 ◼ 工作在IP层 ◼ 动态开放端口 – 根据数据包的头信息打开或关闭端口。当一组数据包通过打 开的端口到达目的地,防火墙就关闭这些端口。减少了端口 的开放时间。 ◼ 动态的状态列表 – 采用了一个在网关上执行网络安全策略的软件引擎(监测模块)。 监测模块工作在链路层和网络层之间,对网络通信的各层实 施监测分析,提取相关的通信和状态信息,并在动态连接表 中进行状态及上下文信息的存储和更新,这些表被持续更新, 为下一个通信检查积累数据。 ◼ 可以对应用层过滤 ◼ 速度和效率都不错