4.防火墙的作用 防火墙用于加强网络间的访问控制,防止外 部用户非法使用内部网的资源,保护内部网络 的设备不被破坏,防止内部网络的敏感数据被 窃取。 防火墙系统决定了哪些内部服务可以被外界 访问;外界的哪些人可以访问内部的哪些可以 访问的服务,以及哪些外部服务可以被内部人 访问
4. 防火墙的作用 防火墙用于加强网络间的访问控制,防止外 部用户非法使用内部网的资源,保护内部网络 的设备不被破坏,防止内部网络的敏感数据被 窃取。 防火墙系统决定了哪些内部服务可以被外界 访问;外界的哪些人可以访问内部的哪些可以 访问的服务,以及哪些外部服务可以被内部人 访问
3.2.2防火墙的类型 防火墙常见的有三种类型:数据包过滤路由器 应用层网关、电路层网关。 1.数据包过滤路由器 (1)数据包过滤原理 数据包过滤技术是防火墙最常用的技术。 数据包过滤技术,顾名思义是在网络中适当的 位置对数据包实施有选择的通过,选择依据,即 为系统内设置的过滤规则(即访问控制表),只 有满足过滤规则的数据包才被转发至相应的网络 接口,其余数据包则被从数据流中删除
1. 数据包过滤路由器 •防火墙常见的有三种类型:数据包过滤路由器 、应用层网关、电路层网关。 3.2.2 防火墙的类型 (1)数据包过滤原理 •数据包过滤技术是防火墙最常用的技术。 •数据包过滤技术,顾名思义是在网络中适当的 位置对数据包实施有选择的通过,选择依据,即 为系统内设置的过滤规则(即访问控制表),只 有满足过滤规则的数据包才被转发至相应的网络 接口,其余数据包则被从数据流中删除
数据包过滤可以控制站点与站点、站点与网络 和网络与网络之间的相互访问,但不能控制传输 的数据内容。 包过滤检查模块深入到系统的网络层和数据链 路层之间。下图是一个包过滤模型原理图: 7应用层 IP TCP Sessio Application 6表示层 5会话层 则吗,比报发包吗 4传输层 3网络层 防火墙检查模块 还有另外 2数链路层 的规则吗 发送NACK 1物理层 丢弃包 结束
•数据包过滤可以控制站点与站点、站点与网络 和网络与网络之间的相互访问,但不能控制传输 的数据内容。 •包过滤检查模块深入到系统的网络层和数据链 路层之间。 下图是一个包过滤模型原理图: IP 1 物理层 3 网络层 2 数据链路层 TCP Session Application Data 与过滤规 则匹配吗? 还有另外 的规则吗? 审计/报警 转发包吗? 发送 NACK 丢弃包 结束 防火墙检查模块 4 传输层 5 会话层 6 表示层 7 应用层
①设置步骤 必须制定一个安全策略; 必须正式规定允许的包类型、包字段的逻辑表达; 必须用防火墙支持的语法重写表达式。 ②按地址过滤 比如说,认为网络202110.80是一个危险的网络 ,那么就可以用源地址过滤禁止内部主机和该网络 进行通信。下表是根据上面的政策所制定的规则。 规则 源地址目标地址动作 AB 方出入 内部网络202.11080拒绝 202.110.80内部网络拒绝
① 设置步骤 •必须制定一个安全策略; •必须正式规定允许的包类型、包字段的逻辑表达; •必须用防火墙支持的语法重写表达式。 ② 按地址过滤 •比如说,认为网络202.110.8.0是一个危险的网络 ,那么就可以用源地址过滤禁止内部主机和该网络 进行通信。下表是根据上面的政策所制定的规则。 B 入 202.110.8.0 内部网络 拒绝 A 出 内部网络 202.110.8.0 拒绝 方 源地址 目标地址 动作 向 规则
③按服务过滤 假设安全策略是禁止外部主机访问内部的 E-mai服务器(SMTP,端口25),允许内部 主机访问外部主机,实现这种的过滤的访问控 制规则类似下表。 规则方向动作源地址源端口目的地址目的端口注释 A进拒绝 * E-mail 25不信任 B出允许 * * 允许联接 C|双向拒绝 缺省状态 “*”代表任意值,没有被过滤器规则明确允许 的包将被拒绝
③ 按服务过滤 假设安全策略是禁止外部主机访问内部的 E-mail服务器(SMTP,端口25),允许内部 主机访问外部主机,实现这种的过滤的访问控 制规则类似下表。 C 双向 拒绝 * * * * 缺省 状态 B 出 允许 * * * * 允许联接 A 进 拒绝 M * E-mail 25 不信任 规则 方向 动作 源 地址 源端口 目的地址 目的端口 注释 - “*”代表任意值,没有被过滤器规则明确允许 的包将被拒绝