防火墙的分类 包过滤器(Packet Filtering):作用在网络层和传输层,根 据包头源地址、目的地址和端口号、协议类型等标志确 定是否允许数据包通过,只有满足过滤逻辑的数据包才 被转发到相应的目的地的出口端,其余的数据包则从数 据流中丢弃。 应用层代理(Application Proxy,.应用层网关,Application Gateway):它作用在应用层,其特点是完全“阻隔”网 络通信流,通过对每种应用服务编制专门的代理程序 实现监视和控制应用层通信流的作用。实际中的应用层 网关通常由专用工作站实现。 电路级网关(Circuit Level Gateway):直接对分组里的数 据进行处理,并且结合前后分组的数据进行综合判断, 然后决定是否允许该数据包通过 2022/10/9 现代密码学理论与实践-20 7163
2022/10/9 现代密码学理论与实践-20 7/63 防火墙的分类 ⚫ 包过滤器(Packet Filtering):作用在网络层和传输层,根 据包头源地址、目的地址和端口号、协议类型等标志确 定是否允许数据包通过,只有满足过滤逻辑的数据包才 被转发到相应的目的地的出口端,其余的数据包则从数 据流中丢弃。 ⚫ 应用层代理(Application Proxy, 应用层网关, Application Gateway):它作用在应用层,其特点是完全“阻隔”网 络通信流,通过对每种应用服务编制专门的代理程序, 实现监视和控制应用层通信流的作用。实际中的应用层 网关通常由专用工作站实现。 ⚫ 电路级网关(Circuit Level Gateway):直接对分组里的数 据进行处理,并且结合前后分组的数据进行综合判断, 然后决定是否允许该数据包通过
车系 15 包过滤路由器 基本思想简单 ·对于每个进来的包,适用一组规则,然后决定转发或者丢弃 该包 ·往往配置成双向的 如何过滤 。过滤的规则以P和传输层的头中的域(字段)为基础,包括源 和目标P地址、P协议域、源和目标端口号 ● 过滤器往往建立一组规则,根据P包是否匹配规则中指定的 条件来作出决定 。 。如果匹配到一条规则,则根据此规则决定转发或者丢弃 ·如果所有规则都不匹配,则根据缺省策略 2022/10/9 现代密码学理论与实践-20 8/63
2022/10/9 现代密码学理论与实践-20 8/63 包过滤路由器 ⚫ 基本思想简单 ⚫ 对于每个进来的包,适用一组规则,然后决定转发或者丢弃 该包 ⚫ 往往配置成双向的 ⚫ 如何过滤 ⚫ 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源 和目标IP地址、IP协议域、源和目标端口号 ⚫ 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的 条件来作出决定。 ⚫ 如果匹配到一条规则,则根据此规则决定转发或者丢弃 ⚫ 如果所有规则都不匹配,则根据缺省策略
安全缺省策略 作长大 105 ●两种基本策略, 或缺省策略 ·没有被拒绝的流量都可以通过 管理员必须针对每一种新出现 的攻击,制定新的规则 ·没有被允许的流量都要拒绝 。比较保守 07 根据需要,逐渐开放 2022/10/9 现代密码学理论与实践-20 9/63
2022/10/9 现代密码学理论与实践-20 9/63 安全缺省策略 ⚫ 两种基本策略,或缺省策略 ⚫ 没有被拒绝的流量都可以通过 ⚫ 管理员必须针对每一种新出现 的攻击,制定新的规则 ⚫ 没有被允许的流量都要拒绝 ⚫ 比较保守 ⚫ 根据需要,逐渐开放
少因海海家水 1950 包过滤路由器示意图 Security Perimeter Private Internet Network Packet- 1 filtering- router 网络层 链路层 物理层 外部网络 内部网 °络 2022/10/9 现代密码学理论与实践-20 10/63
2022/10/9 现代密码学理论与实践-20 10/63 包过滤路由器示意图 网络层 链路层 物理层 外部网络 内部网 络
冷不 1950 包过滤防火墙 ·在网络层上进行监测,没有考虑连接状态信息 ● 通常在路由器上实现,实际上是一种网络的访问控 制机制 ·优点 实现简单 对用户透明 。效率高 ·缺点 正确制定规则并不容易 。不可能引入认证机制 ¥例:ipchains and iptables 2022/10/9 现代密码学理论与实践-20 11/63
2022/10/9 现代密码学理论与实践-20 11/63 包过滤防火墙 ⚫ 在网络层上进行监测,没有考虑连接状态信息 ⚫ 通常在路由器上实现,实际上是一种网络的访问控 制机制 ⚫ 优点 ⚫ 实现简单 ⚫ 对用户透明 ⚫ 效率高 ⚫ 缺点 ⚫ 正确制定规则并不容易 ⚫ 不可能引入认证机制 ⚫ 举例: ipchains and iptables