第9章防火墙 (1)第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的, 它是根据定义好的过滤规则审查每个数据包, 以便确定其是否与某一条包过滤规则匹配。过 滤规则基于数据包的报头信息进行制订。报头 信息中包括IP源地址、IP目标地址、传输协议( TCP、UDP、ICMP等)、TCP/UDP目标端口 ICMP消息类型等 BACK
第9 章 防火墙 这类防火墙几乎是与路由器同时产生的, 它是根据定义好的过滤规则审查每个数据包, 以便确定其是否与某一条包过滤规则匹配。过 滤规则基于数据包的报头信息进行制订。报头 信息中包括IP源地址、IP目标地址、传输协议( TCP、UDP、ICMP等)、TCP/UDP目标端口、 ICMP消息类型等。 (1)第一代静态包过滤类型防火墙
第9章防火墙 (2)第二代动态包过滤类型防火墙。 这类防火墙采用动态设置包过滤规则的方法 ,避免了静态包过滤所具有的问题。这种技 术后来发展成为包状态监测( Stateful Inspection)技术。采用这种技术的防火墙对 通过其建立的每一个连接都进行跟踪,并且 根据需要可动态地在过滤规则中增加或更新 条目 BACK
第9 章 防火墙 (2)第二代动态包过滤类型防火墙。 这类防火墙采用动态设置包过滤规则的方法 ,避免了静态包过滤所具有的问题。这种技 术 后 来 发 展 成 为 包 状 态 监 测 ( Stateful Inspection)技术。采用这种技术的防火墙对 通过其建立的每一个连接都进行跟踪,并且 根据需要可动态地在过滤规则中增加或更新 条目
第9章防火墙 包过滤方式的优点 因为它工作在网络层和传输层,与应用 层无关,因此不用改动客户机和主机上 的应用程序。 BACK
第9 章 防火墙 包过滤方式的优点 因为它工作在网络层和传输层,与应用 层无关,因此不用改动客户机和主机上 的应用程序
第9章防火墙 包过滤方式的缺点 过滤判别的依据只是网络层和传输层的有限信 息,因而各种安全要求不可能充分满足 ·在许多过滤器中,过滤规则的数目是有限制的 ,且随着规则数目的增加,性能会受到很大影 响 由于缺少上下文关联信息,不能有效地过滤如 UDP、RPC(远程过程调用)一类的协议; ·大多数过滤器中缺少审计和报警机制,它只能 依据包头信息,而不能对用户身份进行验证, 很容易受到“地址欺骗型”攻击 BACK
第9 章 防火墙 包过滤方式的缺点 • 过滤判别的依据只是网络层和传输层的有限信 息,因而各种安全要求不可能充分满足; • 在许多过滤器中,过滤规则的数目是有限制的 ,且随着规则数目的增加,性能会受到很大影 响; • 由于缺少上下文关联信息,不能有效地过滤如 UDP、RPC(远程过程调用)一类的协议; • 大多数过滤器中缺少审计和报警机制,它只能 依据包头信息,而不能对用户身份进行验证, 很容易受到“地址欺骗型”攻击
第9章防火墙 2.应用代理型防火墙 应用代理型防火墙概述 应用代理型防火瑨的分类 应用代理型防火墙的 ·应用代理型防火墙的缺 BACK
第9 章 防火墙 2.应用代理型防火墙 • 应用代理型防火墙概述 • 应用代理型防火墙的分类 • 应用代理型防火墙的优点 • 应用代理型防火墙的缺点