12.2.1数据包过滤技术 TCP协议 UDP协议: P源地址 P源地址 P目的地址 P目的地址 P协议字段 旧P协议字段 ■TCP源端口 ∪DP源端口 TCP目的端口 UDP目的端口 TCP标志字段
12.2.1 数据包过滤技术 TCP协议: ◼ IP源地址 ◼ IP目的地址 ◼ IP协议字段 ◼ TCP源端口 ◼ TCP目的端口 ◼ TCP标志字段 UDP协议: ◼ IP源地址 ◼ IP目的地址 ◼ IP协议字段 ◼ UDP源端口 ◼ UDP目的端口
包过滤防火墙 第一代:静态包过滤 据定义好的过滤规则审查每个数据包,以便确定其是否与某一条 包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报 头信息中包括源地址、IP目标地址、传输协议(TCP、UDP、 ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类 型的防火墙要逴循的一条基本原则是“最小特权原则”,即明确 允许那些管理员希望通过的数据包,禁止其他的数据包。 应用 应用 应用层 表示层 表示 表示层 会话层 会 传输 传输 度箱层 网络 网络 网络 数据链层敬据链路 据链客层 理 物理层 理
包过滤防火墙 第一代:静态包过滤 据定义好的过滤规则审查每个数据包,以便确定其是否与某一条 包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报 头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、 ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类 型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确 允许那些管理员希望通过的数据包,禁止其他的数据包
HTTP数据包的过滤 规则包的源地址目的地协议源端口目的ACK是否 方向 址 端口 通过 内部 InternetTCP>102380any允许 B 出入 Internet内部 TCP 80 10231 允许
HTTP数据包的过滤
⊙第二代:动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方 法,避免了静态包过滤所具有的问题。这种技术后来 发展成为所谓包状态监测( Stateful Inspection)技 术。采用这种技术的防火墙对通过其建立的每一个连 接都进行跟踪,并且根据需要可动态地在过滤规则中 增加或更改 应用 应用且 应用层 表示层 夜示 表示 会话量 传输晨 传输 传输 网络 网络 网络 据链路数据客 数据链 韌理 物理层 物理 跟踪每个连接
第二代:动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方 法,避免了静态包过滤所具有的问题。这种技术后来 发展成为所谓包状态监测(Stateful Inspection)技 术。采用这种技术的防火墙对通过其建立的每一个连 接都进行跟踪,并且根据需要可动态地在过滤规则中 增加或更改 跟踪每个连接