项件防火墙 网络安金 NETWORK SECURIY 由Pc硬件、通用操作系统和防火墙软件组成。 在定制的PC硬件上,采用通用PC系统、Fash盘 网卡组成的硬件平台上运行LnuX、 FreeBsD、 Solaris等经过最小化安全处理后的操作系统及集成 的防火墙软件。特点是开发成本低、性能实用、稳 定性和扩展性较好,价格也低廉。由于此类防火墙 依赖操作系统内核,因此会受到操作系统本身安全 性影响,处理速度也慢
硬件防火墙 由PC硬件、通用操作系统和防火墙软件组成。 在定制的PC硬件上,采用通用PC系统、Flash盘、 网卡组成的硬件平台上运行Linux、FreeBSD、 Solaris等经过最小化安全处理后的操作系统及集成 的防火墙软件。特点是开发成本低、性能实用、稳 定性和扩展性较好,价格也低廉。由于此类防火墙 依赖操作系统内核,因此会受到操作系统本身安全 性影响,处理速度也慢
专用防火墙 网络安金 NETWORK SECURIY 采用特别优化设计的硬件体系结构,使用专 用的操作系统,此类防火墙在稳定性和传输性能 方面有着得天独厚的优势,速度快,处理能力强, 性能高;由于使用专用操作系统,容易配置和管 理,本身漏洞也比较少,但是扩展能力有限,价 格也较高。由于专用防火墙系列化程度好,用户 可根据应用环境选择合适的产品
专用防火墙 采用特别优化设计的硬件体系结构,使用专 用的操作系统,此类防火墙在稳定性和传输性能 方面有着得天独厚的优势,速度快,处理能力强, 性能高;由于使用专用操作系统,容易配置和管 理,本身漏洞也比较少,但是扩展能力有限,价 格也较高。由于专用防火墙系列化程度好,用户 可根据应用环境选择合适的产品
42包过滤防火指 网络安金 NETWORK SECURIY 包过滤( Packet Filter)是所有防火墙中最核心的功能, 进行包过滤的标准是根据安全策略制定的。通常情况下靠 网络管理员在防火墙设备的ACL中设定。与代理服务器相 比,它的优势是不占用网络带宽来传输信息。 包过滤规则一般存放于路由器的ACL中。在ACL中定义了 各种规则来表明是否同意或拒绝数据包的通过。 如果没有一条规则能匹配,防火墙就会使用默认规则,一 般情况下,默认规则要求防火墙丢弃该包。包过滤的核心 是安全策略即包过滤算法的设计
4.1.2 包过滤防火墙 • 包过滤(Packet Filter)是所有防火墙中最核心的功能, 进行包过滤的标准是根据安全策略制定的。通常情况下靠 网络管理员在防火墙设备的ACL中设定。与代理服务器相 比,它的优势是不占用网络带宽来传输信息。 • 包过滤规则一般存放于路由器的ACL中。在ACL中定义了 各种规则来表明是否同意或拒绝数据包的通过。 • 如果没有一条规则能匹配,防火墙就会使用默认规则,一 般情况下,默认规则要求防火墙丢弃该包。包过滤的核心 是安全策略即包过滤算法的设计
ACcL对教据包的过 网络安金 NETWORK SECURIY 帧头 数据包 段 数据 帧尾 (例如HDLC)(P头部) (例如TCP头部) 目的端口号 源端口号 目的PP地址 用ACL规则 源P地址 测试数据包 封装协议 允许通过 拒绝,丢弃 图44
帧头 (例如HDLC) 数据包 (IP头部) 段 (例如TCP头部) 数据 帧尾 目的端口号 源端口号 目的IP地址 源IP地址 封装协议 用ACL规则 测试数据包 拒绝,丢弃 允许通过 图4.4 ACL对数据包的过滤
ACL处理入教据包的过程 网络安金 NETWORK SECURIY 数据包到达 接口上有 防火墙接口 ACL吗? 列表中的 与第一条 下一条目 匹配吗? Yes/还有更多的、No 应用条件 条目 吗? No 拒绝 允许 转发给 接口 ICMP消息 图45
No Yes No 数据包到达 防火墙接口 与第一条 匹配吗? 接口上有 ACL吗? Yes 列表中的 下一条目 还有更多的 条目 吗? Yes 应用条件 拒绝 允许 转发给 接口 No ICMP消息 图4.5 ACL处理入数据包的过程