电子科技女学 网络安全曜格5散术 包过滤操作流程图 存储包过滤规则 分析报头字段,IP、DP和TCP 应用下一个包过滤规则 是 包规则是否允许传输 允许包 该规则未 命中 是 包规则是否阻塞传输 阻塞包 否 是 是否最后一个包过滤规则 信息与软件工程学院 ǒ
理论与技术 包过滤操作流程图 28 该规则未 命中
电子科技女学 网络安全曜备易散木 规则制定注意事项 ◆协议双向性 >一方发送请求而另一方返回应答 “往内”与“往外” >准确理解“往内”与“往外”语义。 “默认允许”与“默认拒绝” >默认拒绝:没有明确地被允许就应被拒绝 (最小特权) >默认允许:没有明确地被拒绝就应被允许 >从安全角度来看,用默认拒绝应该更合适 信息与软件工程学院 Copyright©电子科技大学计算机学院 29202276720
理论与技术 规则制定注意事项 ◆协议双向性 ➢一方发送请求而另一方返回应答 ◆“往内”与“往外” ➢准确理解“往内”与“往外”语义。 ◆“默认允许”与“默认拒绝” ➢默认拒绝:没有明确地被允许就应被拒绝(最小特权) ➢默认允许:没有明确地被拒绝就应被允许 ➢从安全角度来看,用默认拒绝应该更合适 Copyright©电子科技大学计算机学院 29 2022/6/20
电子科技女学 网络安全曜格5散术 建议过滤规则 ◆进入内部网络(来自外部) 的数据包 >不以内部地址为源地址(避免源地址欺骗) >须以内部地址为目的地址 >内部地址可为私有地址 ◆离开内部网络的数据包 >须以内部地址为源地址 >不以内部地址为目的地址 信息与软件工程学院 30
理论与技术 建议过滤规则 ◆进入内部网络(来自外部)的数据包 ➢不以内部地址为源地址(避免源地址欺骗) ➢须以内部地址为目的地址 ➢内部地址可为私有地址 ◆离开内部网络的数据包 ➢须以内部地址为源地址 ➢不以内部地址为目的地址 30
电子科技女学 网路安全潭备多教术 建议过滤规则 ◆阻塞任意源路由包或任何设置了1P选项的包 >源路由选项描述数据包到达目的主机的路由,常用来绕过安全检查 站点 >IP分片 ◆保留、多播地址也需要被阻塞 >0.0.0.0/8、169.254.0.0/16、192.0.2.0/24、 224.0.0.0/4、240.0.0.0/4。 信息与软件工程学院 31
理论与技术 建议过滤规则 ◆阻塞任意源路由包或任何设置了IP选项的包 ➢源路由选项描述数据包到达目的主机的路由,常用来绕过安全检查 站点 ➢IP分片 ◆保留、多播地址也需要被阻塞 ➢0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、 224.0.0.0/4 、240.0.0.0/4。 31
电子科技女学 网络安全曜备易散木 包过滤优点 ◆对用户透明:不用改动应用程序 ◆成本低:可在路由器上实施 ◆速度快、效率高:对网络性能影响较小 信息与软件工程学院 Copyright©电子科技大学计算机学院 322022/6/20
理论与技术 包过滤优点 ◆对用户透明:不用改动应用程序 ◆成本低:可在路由器上实施 ◆速度快、效率高:对网络性能影响较小 Copyright©电子科技大学计算机学院 32 2022/6/20