文档介绍：第七章防火墙的构造与选择
防火墙概述
防火墙的基本体系结构
防火墙的选择与实施主要的防火墙产品
防火墙概述
防火墙(Firewall)的定义:
——防火墙是用来限制被保护的网络与互联网络之间,或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。
防火墙应具备的条件:
内部和外部之间的所有网络数据流必须经过防火墙
只有符合安全策略的数据流才能通过防火墙
防火墙——的有效安全机制
服务控制:确定哪些服务可以被访问
方向控制:对于特定的服务,可以确定允许哪个方向能够通过防火墙
用户控制:根据用户来控制对服务的访问
行为控制:控制一个特定的服务的行为
防火墙的控制能力
定义了一个必经之点
挡住未经授权的访问流量
实施保护,以避免各种IP欺骗和路由攻击
防火墙提供了一个监视各种安全事件的位置,所以,可以在防火墙上实现审计和报警
功能来说,防火墙也可以是一个理想的平台,比如地址转换(NAT),日志,甚至计费功能
防火墙的作用
构筑防火墙之前,需要制定一套有效的安全策略
防火墙的策略
网络服务访问策略
一种高层次的具体到事件的策略,主要用于定义在网络中允许或禁止的服务。
防火墙设计策略
一切未被允许的就是禁止的——安全性好,但是用户所能使用的服务范围受到严格限制。
一切未被禁止的都是允许的——可以为用户提供更多的服务,但是在日益增多的网络服务面前,很难为用户提供可靠的安全防护。
包过滤型(Packet Filter)
代理服务器型(Proxy Service)
复合型防火墙(Hybrid)
防火墙的基本类型
基本思想
对于每个进来的包适用一组规则,然后决定转发或丢弃该包
包过滤型
如何过滤
过滤的规则以IP层和运输层的头中的字段为基础
过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定:
如果匹配到一条规则,则根据此规则决定转发或者丢弃
如果所有规则都不匹配,则根据缺省策略
网络层
链路层
外部网络
内部网络
包过滤路由器示意图
包过滤型
判断依据:
数据包协议类型:TCP、UDP、ICMP等
源IP、目的IP地址
源端口、目的端口:FTP、、HTTP等
IP选项:源路由、记录路由等
TCP选项:SYN、ACK、FIN、RST等
数据包流向:in或out
数据包流经网络接口:eth0、eth1