表5-1包过滤规则举例1 源主源主目的目的 操机 机主机主机 作/网络 /网 描述 端口 络 端口 拒Bad 25不相信 bad. host 绝host 允Ou 允许 our host主机向外发邮件 许host
表5-1 包过滤规则举例1 操 作 源主 机 /网络 源主 机 端口 目的 主机 /网 络 目的 主机 端口 描 述 拒 绝 Bad. host * * 25 不相信bad.host 允 许 Our. host 25 * * 允许our.host主机向外发邮件
表5-2包过滤规则举例2 操源主源主目的主目的主 机机 机 机 作 描述 /网络端口/网络端口 拒Bad 25 不相信 绝host bad. host Ou 5 允许 our host主 允许 host 机向外发邮件 接Bad.25Our.25 接收来自 收host host bad. host的邮件 拒绝 21拒绝FTP访问 host
表5-2 包过滤规则举例2 操 作 源主 机 /网络 源主 机 端口 目的主 机 /网 络 目的主 机 端口 描 述 拒 绝 Bad. host * * 25 不相信 bad.host 允 许 Our. host 25 * * 允许our.host主 机向外发 邮件 接 收 Bad. host 25 Our. host 25 接收来自 bad.host的邮件 拒 绝 * * Our. host 21 拒绝FTP访问
在这种情况下,来自 bad. host的所有数据包, 除了来自它的25号端口到 our host的25号端 口的电子邮件以外,都被拒绝接收。这在 过滤规则中的第一条和第三条中体现。除 此以外,所有到ou:host21号端口的FTP访 问都被拒绝。这在第四条中体现出。系统 管理员通常整个拒绝某类访问,因为这类 访问从安全角度看来太危险了。例如,ttp、 sunrpcr、 login和 Remec等
• 在这种情况下,来自bad.host的所有数据包, 除了来自它的25号端口到our.host的25号端 口的电子邮件以外,都被拒绝接收。这在 过滤规则中的第一条和第三条中体现。除 此以外,所有到our.host的21号端口的FTP访 问都被拒绝。这在第四条中体现出。系统 管理员通常整个拒绝某类访问,因为这类 访问从安全角度看来太危险了。例如,tftp、 sunrpcr、login和rexec等
二、包过滤路由器的特点 1、包过滤器的优点 过滤路由器使用的包过滤技术提供了一个 有效而通用的方法来控制网络流量,它是 个有效防止非法用户访问网络的办法之 。该技术的优点体现在以下几点上: (1)不要求用户机器和主应用程序作出修改, 因为过滤操作是在TCPP层次上,而TCP层 和P层与应用层问题没有相关。这使得这些 安全策略不会对用户产生障碍
二、 包过滤路由器的特点 • 1、包过滤器的优点 • 过滤路由器使用的包过滤技术提供了一个 有效而通用的方法来控制网络流量,它是 一个有效防止非法用户访问网络的办法之 一。该技术的优点体现在以下几点上: • (1) 不要求用户机器和主应用程序作出修改, 因为过滤操作是在TCP/IP层次上,而TCP层 和IP层与应用层问题没有相关。这使得这些 安全策略不会对用户产生障碍
(2)因为过滤操作仅仅是对发送过来的数据包的P 源地址、端口号和协议等头部信息进行草草地检 查,所以其工作速度很快。 (3)过滤路由器的实现比较简单。首先应根据系统 的安全策略要求,列出过滤路由器所允许和禁止 通过的各种任务。例如,可以允许或者禁止像 FTP、 TELNET、RIP等应用协议数据包的如果 可以允许或者禁止来自某个范围源地址的数据包 的通过等等
• (2) 因为过滤操作仅仅是对发送过来的数据包的IP 源地址、端口号和协议等头部信息进行草草地检 查,所以其工作速度很快。 • (3) 过滤路由器的实现比较简单。首先应根据系统 的安全策略要求,列出过滤路由器所允许和禁止 通过的各种任务。例如,可以允许或者禁止像 FTP、TELNET、RIP等应用协议数据包的如果; 可以允许或者禁止来自某个范围源地址的数据包 的通过等等