电子科技女学 网络安全曜格5散术 温故而知新 一防火墙能做什么 ◆高级网络访问控制设备 >1)创建一个阻塞点 >2)实现安全策略 >3)记录网络活动 >4)限制网络暴露 >5)安全功能实现平台 信息与软件工程学院
理论与技术 温故而知新——防火墙能做什么 ◆高级网络访问控制设备 ➢1)创建一个阻塞点 ➢2)实现安全策略 ➢3)记录网络活动 ➢4)限制网络暴露 ➢5)安全功能实现平台
脑电子科点女学 网络安全曜备5散木 温故而知新—防火墙技术 ◆包过滤 ◆电路级网关 ◆应用代理防火墙 ◆状态检测包过滤防火墙 信息与软件工程学院
理论与技术 温故而知新——防火墙技术 ◆包过滤 ◆电路级网关 ◆应用代理防火墙 ◆状态检测包过滤防火墙
电子科技女学 网络安全曜备易散木 温故而知新 包过滤防火墙 ◆工作在网络层 ◆检查每个包头部信息,依据一套规则决定丢弃或者放行该数据包 ◆包头 >IP包头:IP地址、协议类型、IP选项(分段) >TCP/UDP头信息:端口号 ◆在标准的路由器上以及专门的防火墙设备上执行。 信息与软件工程学院 Copyright©电子科技大学计算机学院 25202276/20
理论与技术 温故而知新——包过滤防火墙 ◆工作在网络层 ◆检查每个包头部信息,依据一套规则决定丢弃或者放行该数据包 ◆包头 ➢IP包头:IP地址、协议类型、IP选项(分段) ➢TCP/UDP头信息:端口号 ◆在标准的路由器上以及专门的防火墙设备上执行。 Copyright©电子科技大学计算机学院 25 2022/6/20
电子科技女学 网络安全曜格5散术 包过滤防火墙配置 ◆制定一个安全策略: >确定什么允许通过和不允许通过 ●哪些服务允许通过而哪些服务应被拒绝 ●哪些包类型、包字段、地址段等允许而哪些拒绝 ◆将安全策略(规定)转化成包过滤规则。 >策略转换成逻辑表达式 >用设备支持的语法(语言)将表达式写成过滤规则 信息与软件工程学院 26
理论与技术 包过滤防火墙配置 ◆制定一个安全策略: ➢确定什么允许通过和不允许通过 ⚫哪些服务允许通过而哪些服务应被拒绝 ⚫哪些包类型、包字段、地址段等允许而哪些拒绝 ◆将安全策略(规定)转化成包过滤规则。 ➢策略转换成逻辑表达式 ➢用设备支持的语法(语言)将表达式写成过滤规则 26
胸电古科放大学 网络安全 厘备5林不 包过滤规则 ◆表格形式,又称访问控制列表 >以某种次序排列的条件和动作序列。 规则 源地址 目的地址 协议 源端口 目的端口 码子位 行为 黑名单 A 202.110.8.0 内部网络 所有 所有 所有 所有 拒绝 B 内部网络 202.110.8.0 所有 所有 所有 所有 拒绝 内部网络 外部网络 TCP 任意 80 任意 允许 白名单 D 外部网络 内部网络 TCP 80 所有 ACK 允许 所有 所有 所有 所有 所有 所有 拒绝 按规则存储顺序检查每个数据包 若一条规则拒绝包传输或接收,则丢弃 若一条规则允许包传输或接收,则通过。 若规则未命中数据包,则继续处理下一条规则。 若包不满足任何一条规则,则此包便被阻塞(默认拒绝)。 信息与软件工程学 27
理论与技术 包过滤规则 ◆表格形式,又称访问控制列表 ➢以某种次序排列的条件和动作序列。 27 规则 源地址 目的地址 协议 源端口 目的端口 码子位 行为 A B C D E 202.110.8.0 内部网络 内部网络 外部网络 所有 内部网络 202.110.8.0 外部网络 内部网络 所有 所有 所有 TCP TCP 所有 所有 所有 任意 80 所有 所有 所有 80 所有 所有 所有 所有 任意 ACK 所有 拒绝 拒绝 允许 允许 拒绝 • 按规则存储顺序检查每个数据包 • 若一条规则拒绝包传输或接收,则丢弃 • 若一条规则允许包传输或接收,则通过。 • 若规则未命中数据包,则继续处理下一条规则。 • 若包不满足任何一条规则,则此包便被阻塞(默认拒绝)。 白名单 黑名单