无状包过防火 网络安金 NETWORK SECURIY 无状态包过滤也叫静态包过滤或者无检查 包过滤。防火墙在检查数据包报头时,不关心 服务器和客户机之间的连接状态,只是根据定 义好的过滤规则集来检查所有进出防火墙的数 据包报头信息来允许或者拒绝数据包
无状态包过滤防火墙 无状态包过滤也叫静态包过滤或者无检查 包过滤。防火墙在检查数据包报头时,不关心 服务器和客户机之间的连接状态,只是根据定 义好的过滤规则集来检查所有进出防火墙的数 据包报头信息来允许或者拒绝数据包
无米亮包过滤防火揞的执行 网络安金 NETWORK SECURIY 传输层 Internet 内部网 网络层 链路层 物理层 图46
网络层 链路层 物理层 传输层 Internet 内部网 图4.6 无状态包过滤防火墙的执行
无状庵包过防火墙的说缺点 网络安金 NETWORK SECURIY 无状态包过滤防火墙最大的好处是速度快、效率高,对流 量的管理较出色;由于所有的通信必须通过防火墙,所以 绕过是困难的;同时对用户和应用是透明的。 无状态包过滤防火墙的缺点也很明显:它允许外部网络直 接连接到内部网络主机;只要数据包符合ACL规则都可以 通过,因此它不能区分包的“好”与“坏”;它不能识 别工P欺诈。它也不支持用户身份认证,不提供日志功能; 虽然可以过滤端口,但是不能过滤服务
无状态包过滤防火墙的优缺点 • 无状态包过滤防火墙最大的好处是速度快、效率高,对流 量的管理较出色;由于所有的通信必须通过防火墙,所以 绕过是困难的;同时对用户和应用是透明的。 • 无状态包过滤防火墙的缺点也很明显:它允许外部网络直 接连接到内部网络主机;只要数据包符合ACL规则都可以 通过,因此它不能区分包的“好”与“坏” ;它不能识 别IP欺诈。它也不支持用户身份认证,不提供日志功能; 虽然可以过滤端口,但是不能过滤服务
网络安金 NETWORK SECURIY 当外部主机伪装内部主机的工P地址时,防火墙能够阻 止这种类型的IP欺骗。 但是当外部主机伪装成可信任的外部主机的IP地址时, 防火墙却不能阻止它们。 由于无状态包过滤防火墙不能为挂起的通信维持一个记 录,所以它就必须根据数据包的格式来判断该数据包是 否属于先前所允许的对话。这就使其有受到IP欺诈的 可能性,并且无法识别UDP数据包和IcMP包的状态
IP欺骗 • 当外部主机伪装内部主机的IP地址时,防火墙能够阻 止这种类型的IP欺骗。 • 但是当外部主机伪装成可信任的外部主机的IP地址时, 防火墙却不能阻止它们。 • 由于无状态包过滤防火墙不能为挂起的通信维持一个记 录,所以它就必须根据数据包的格式来判断该数据包是 否属于先前所允许的对话。这就使其有受到IP欺诈的 可能性,并且无法识别UDP数据包和ICMP包的状态
无法过滤服翕 网络安金 NETWORK SECURIY 对于一些比较新的多媒体应用在会话开始之前 端口号是未知的。 ·例如,Web服务器默认端口为80,而计算机上 又安装了 RealPlayer,那么它会搜寻可以允许 连接到 Realaudio服务器的端口,而不管这个 端口是否被其他协议所使用, RealPlayer正好 是使用80端口而搜寻的。就这样无意中, RealPlayer就利用了Web服务器的端口
无法过滤服务 • 对于一些比较新的多媒体应用在会话开始之前 端口号是未知的。 • 例如,Web服务器默认端口为80,而计算机上 又安装了RealPlayer,那么它会搜寻可以允许 连接到RealAudio服务器的端口,而不管这个 端口是否被其他协议所使用,RealPlayer正好 是使用80端口而搜寻的。就这样无意中, RealPlayer就利用了Web服务器的端口