文档介绍：第六讲防火墙
内容
1 基本概念
2 包过滤型防火墙
3 代理型防火墙
4 防火墙连接模式
5 防火墙产品的发展
6 防火墙的局限性
1. 基本概念
防火墙是一种保护网络安全的方法
防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。
防火墙的主要功能就是依照所定义的访问控制策略对数据通讯进行屏蔽和允许通信。
防火墙的功能
网络通信过滤(Packet Filter)
访问控制:过滤未经授权的网络通信
网络内容过滤(Application Filter)
网络地址转换(NAT)
解决IP地址不足
保护内部网络地址
隐藏提供网络服务的真实地址
防火墙的基本规则
配置防火墙有两种基本规则: NO规则、 Yes 规则
一切未被允许的就是禁止的(NO规则)
在该规则下,防火墙封锁所有的信息流,只允许符合开放规则的信息进出。这种方法可以形成一种比较安全的网络环境,但这是以牺牲用户使用的方便性为代价的
一切未被禁止的就是允许的(Yes 规则)
在该规则下,防火墙只禁止符合屏蔽规则的信息进出,而转发所有其他信息流。这种方法提供了一种更为灵活的应用环境,但很难提供可靠的安全防护。
具体选择哪种规则,要根据实际情况决定,如果出于安全考虑就选择第一条准则,如果出于应用的便捷性考虑就选用第二条准则。
Y
N
N
匹配规则3
匹配规则2
匹配规则1
IP包
防火墙规则表
拒绝
接受
N
Y
Y
(a)NO规则
Y
N
N
匹配规则3
匹配规则2
匹配规则1
IP包
防火墙规则表
接受
拒绝
N
Y
Y
(b)YES规则
防火墙的类型
包过滤防火墙
静态包过滤防火墙
基于状态检测的包过滤防火墙
应用代理(网关)防火墙
包过滤型防火墙
一般工作在TCP/IP协议的IP层
根据系统设置的过滤规则,通过检查数据包的报头信息,根据数据包的源地址、目的地址、服务类型、二层数据链路层可控的MAC地址和以上的其他信息相组合,按照过滤规则来决定是否允许数据包通过。
常见设备:路由器,可以通过访问控制列表(ACL)来对路由器端口的数据包进行过滤控制。
包括:静态包过滤防火墙、状态监测防火墙
包过滤型防火墙
IP包
目的IP地址
源IP地址
目的端口
源端口
数据
TCP/UDP包
静态包过滤防火墙
静态包过滤防火墙工作在TCP/IP 协议的IP 层,依据系统事先设定好的过滤规则,检查数据流中的每个数据包。
根据数据包的源地址、目的地址、所用端口号、数据的对话协议类型及数据包头中的各种标志位或组合等因素来确定是否允许该数据包通过。具体过滤要素如下:

第八部分 防火墙.ppt

第八部分 防火墙.ppt

第八部分防火墙.ppt

第八部分防火墙.ppt