26 3、防火墙是如何实现其功能的? 3.2状态检测技术 口状态检测工作原理 ■状态检测技术根据连接的“状态”进行检查,当一个连接的初始数 据报文到达执行状态检测的防火墙时,需要经过3个步骤 口步骤1:当接收到数据包后,首先查看状态表,判断该包是否属 于当前合法连接,若是,则接收该包让其通过,否则进入步骤2。 口步骤2:在过滤规则表中遍历,如不允许该数据包通过,则直接 丢弃该包,跳回步骤1处理后续数据包;若允许该数据包通过, 则进入步骤3。 口步骤3:在状态表中加入该新连接条目,并允许数据包通过。跳 回步骤1处理后续数据包
3、防火墙是如何实现其功能的? 状态检测工作原理 ◼ 状态检测技术根据连接的“状态”进行检查,当一个连接的初始数 据报文到达执行状态检测的防火墙时,需要经过3个步骤: 步骤1:当接收到数据包后,首先查看状态表,判断该包是否属 于当前合法连接,若是,则接收该包让其通过,否则进入步骤2。 步骤2:在过滤规则表中遍历,如不允许该数据包通过,则直接 丢弃该包,跳回步骤1处理后续数据包;若允许该数据包通过, 则进入步骤3。 步骤3:在状态表中加入该新连接条目,并允许数据包通过。跳 回步骤1处理后续数据包。 26 3.2状态检测技术
接受数据包 27 状态检测处 理流程 状态表 (是否属于当前合法 连接?) 否 是否与规则匹配? 否 将新连接加入状态表 允许数据包通过 丢弃数据包
27 状态检测处 理流程
28 3、防火墙是如何实现其功能的? 3.2状态检测技术 口状态检测的优缺点 ■优点: 口安全性比静态包过滤技术高。 口与静态包过滤技术相比,提升了防火墙的性能 缺点: 口主要工作在网络层,对报文的数据部分检查很少,安全性不够高。 口检查内容多,对防火墙性能提出了更高的要求
3、防火墙是如何实现其功能的? 状态检测的优缺点 ◼ 优点: 安全性比静态包过滤技术高。 与静态包过滤技术相比,提升了防火墙的性能。 ◼ 缺点: 主要工作在网络层,对报文的数据部分检查很少,安全性不够高。 检查内容多,对防火墙性能提出了更高的要求。 28 3.2状态检测技术
29 3、防火墙是如何实现其功能的? 3.3NAT技术 口3.3网络地址转换(NAT)技术
3、防火墙是如何实现其功能的? 3.3 网络地址转换(NAT)技术 29 3.3 NAT技术
30 3、防火墙是如何实现其功能的? 3.3NAT技术 口NAT技术简介 ■网络地址转换( Network Address translation,NAT),也称IP 地址伪装技术( IP Masquerading)。 最初设计NAT的目的是允许将私有P地址映射到公网上(合法的因 特网IP地址),以缓解IP地址短缺的问题。 ■通过NAT,可以防止内部网络结构被人掌握,因此从一定程度上降 低了内部网络被攻击的可能性,提高了私有网络的安全性。正是内 部主机地址隐藏的特性,使NAT技术成为了防火墙实现中经常采用 的核心技术之
3、防火墙是如何实现其功能的? NAT技术简介 ◼ 网络地址转换(Network Address Translation,NAT),也称IP 地址伪装技术(IP Masquerading)。 ◼ 最初设计NAT的目的是允许将私有IP地址映射到公网上(合法的因 特网IP地址),以缓解IP地址短缺的问题。 ◼ 通过NAT,可以防止内部网络结构被人掌握,因此从一定程度上降 低了内部网络被攻击的可能性,提高了私有网络的安全性。正是内 部主机地址隐藏的特性,使NAT技术成为了防火墙实现中经常采用 的核心技术之一。 30 3.3 NAT技术