防火墙的策略 构筑防火墙之前,需要制定一套有效的安全策略 >网络服务访问策略 种高层次的具体到事件的策略,主要用于定义在网络中 允许或禁止的服务 防火墙设计策略 切未被允许的就是禁止的—安全性好,但是用户 所能使用的服务范围受到严格限制 切未被禁止的都是允许的—可以为用户提供更多 的服务,但是在日益增多的网络服务面前,很难为用户提 供可靠的安全防护
构筑防火墙之前,需要制定一套有效的安全策略 防火墙的策略 ➢网络服务访问策略 一种高层次的具体到事件的策略,主要用于定义在网络中 允许或禁止的服务。 ➢防火墙设计策略 ➢一切未被允许的就是禁止的——安全性好,但是用户 所能使用的服务范围受到严格限制。 ➢一切未被禁止的都是允许的——可以为用户提供更多 的服务,但是在日益增多的网络服务面前,很难为用户提 供可靠的安全防护
防火墙的基本类型 >包过滤型( Packet filter) >代理服务器型( Proxy Service) >复合型防火墙( Hybrid)
➢包过滤型(Packet Filter) ➢代理服务器型(Proxy Service) ➢复合型防火墙(Hybrid) 防火墙的基本类型
包过滤型 >基本思想 对于每个进来的包适用一组规则,然后决定转发或 丢弃该包 >如何过滤 过滤的规则以IP层和运输层的头中的字段为基础 过滤器往往建立一组规则,根据IP包是否匹配规 则中指定的条件来作出决定: >如果匹配到一条规则,则根据此规则决定转发或者丢弃 ≯如果所有规则都不匹配,则根据缺省策略
➢基本思想 对于每个进来的包适用一组规则,然后决定转发或 丢弃该包 包过滤型 ➢如何过滤 ➢过滤的规则以IP层和运输层的头中的字段为基础 ➢过滤器往往建立一组规则,根据IP包是否匹配规 则中指定的条件来作出决定: ➢如果匹配到一条规则,则根据此规则决定转发或者丢弃 ➢如果所有规则都不匹配,则根据缺省策略
包过滤路由器示意图 Security perimeter Private Internet Network Packet- filtering --------- router 网坡旦 链路层 外部网络 内部网
网络层 链路层 外部网络 内部网 络 包过滤路由器示意图
包过滤型 判断依据 >数据包协议类型:TP、UDP、ICM等 源IP、目的IP地址 源端口、目的端口:FTP、 TELNET、HTP等 ≯IP选项:源路由、记录路由等 TCP选项:SYN、ACK、FIN、RST等 >数据包流向:in或out >数据包流经网络接口:eth0、eth1
包过滤型 判断依据: ➢数据包协议类型:TCP、UDP、ICMP等 ➢源IP、目的IP地址 ➢源端口、目的端口:FTP、TELNET、HTTP等 ➢IP选项:源路由、记录路由等 ➢TCP选项:SYN、ACK、FIN、RST等 ➢数据包流向:in或out ➢数据包流经网络接口:eth0、eth1